你不知道这10个Web安全漏洞，就别说自己是黑客

例子

1. 航空公司预订应用措施支持URL重写，将会话ID放在URL中：
2. http://Examples.com/sale/saleitems;jsessionid=2P0OC2oJM0DPXSNQPLME34SERTBG/dest=Maldives（出售马尔代夫门票）
3. 该网站的颠末身份验证的用户但愿让他的伴侣相识该贩卖并发送电子邮件。伴侣收到会话ID，可用于举办未经授权的修改或滥用生涯的名誉卡具体信息。
4. 应用措施轻易受到XSS进攻，进攻者可以通过XSS会见会话ID并可用于挟制会话。
5. 应用措施超时未正确配置。用户行使民众计较机并封锁赏识器，而不是注销并分开。进攻者稍后行使沟通的赏识器，并对会话举办身份验证。

提议

1. 应按照OWASP应用措施安详验证尺度界说所怀孕份验证和会话打点要求。
2. 永久不要在URL或日记中果真任何根据。
3. 还应该做出很大的全力来停止可用于窃取会话ID的XSS裂痕。

不安详的直接工具引用

描写

当开拓职员果真对内部实现工具的引用（譬喻URL或FORM参数中的文件，目次或数据库键）时，就会产生这种环境。进攻者可以行使此信息会见其他工具，并可以建设未来的进攻来会见未经授权的数据。

意义

• 行使此裂痕，进攻者可以会见未经授权的内部工具，可以修改数据或粉碎应用措施。

易受进攻的工具

• 在URL中。

例子：

变动以下URL中的“userid”可以使进攻者查察其他用户的信息。

http://www.vulnerablesite.com/userid=123修改为http://www.vulnerablesite.com/userid=124

进攻者可以通过变动用户标识值来查察其他信息。

提议：

1. 实验会见节制搜查。
2. 停止在URL中果真工具引用。
3. 验证对全部引用工具的授权。

csrf跨站点哀求伪造

描写

Cross Site Request Forgery是来自跨站点的伪造哀求。

CSRF进攻是指恶意网站，电子邮件或措施导致用户的赏识器在用户当前已对其举办身份验证的受信赖站点上执行不必要的操纵时产生的进攻。

CSRF进攻逼迫登录受害者的赏识器向易受进攻的Web应用措施发送伪造的HTTP哀求，包罗受害者的会话cookie和任何其他自动包括的身份验证信息。

当用户在登录原始网站时点击URL时，进攻者将向受害者发送链接，该数据将从网站上被窃取。

意义

• 将此裂痕用作进攻者可以变动用户设置文件信息，变动状态，代表打点员建设新用户等。

易受进攻的工具

• 用户档案页面
• 用户帐户表单
• 贸易买卖营业页面

例子

受害者行使有用根据登录银行网站。他收到进攻者的邮件说“请点击此处捐赠1美元。”

当受害者点击它时，将建设一个有用哀求以向特定帐户捐赠1美元。

http://www.vulnerablebank.com/transfer.do?account=cause&amount=1

进攻者捕捉此哀求并建设以下哀求，并嵌入一个按钮，说“我支持缘故起因”。

http://www.vulnerablebank.com/transfer.do?account=Attacker&amount=1000

因为会话已通过身份验证而且哀求通过银行网站发送，因此处事器将向进攻者转移1000美元。

提议

1. 在执行敏感操纵时逼迫用户在场。
2. 实现CAPTCHA，从头认证和独一哀求令牌等机制。

安详设置错误

描写

必需为应用措施，框架，应用措施处事器，Web处事器，数据库处事器僻静台界说和陈设安详性设置。假如这些设置正确，进攻者也许会未经授权会见敏感数据或成果。

偶然这种缺陷会导致体系完全妥协。保持软件最新也是很好的安详性。

意义

• 操作此裂痕，进攻者可以列举底层技能和应用措施处事器版本信息，数据库信息并获取有关应用措施的信息以举办更多进攻。

易受进攻的工具

• 网址
• 表格字段
• 输入字段

例子

1. 应用措施处事器打点节制台将自动安装，不会被删除。默认帐户不会变动。进攻者可以行使默认暗码登录，并可以得到未经授权的会见。
2. 您的处事器上未禁用目次列表。进攻者发明并可以简朴地列出目次以查找任何文件。

提议

• 强盛的应用措施架构，可在组件之间提供精采的疏散和安详性。
• 变动默认用户名和暗码。
• 禁用目次列表并实验会见节制搜查。

不安详的加密存储

描写

不安详的加密存储是一种常见的裂痕，在敏感数据未安详存储时存在。

用户根据，设置文件信息，康健具体信息，名誉卡信息等属于网站上的敏感数据信息。

该数据将存储在应用措施数据库中。假如不行使加密或散列*来不正确地存储此数据，则它将轻易受到进攻者的进攻。

（* Hashing是将字符串字符转换为牢靠长度或密钥的较短字符串。要解密字符串，用于形成密钥的算法应该可用）

意义

• 通过行使此裂痕，进攻者可以窃取，修改此类受弱掩护的数据，以举办身份盗用，名誉卡诓骗或其他犯法。

易受进攻的工具

• 应用数据库。

例子

在个中一个银行应用措施中，暗码数据库行使未加保存的哈希*来存储每小我私人的暗码。SQL注入裂痕应承进攻者检索暗码文件。全部未加盐的哈希都可以在任何时辰强行举办，而盐渍的暗码则必要数千年的时刻。

（*无盐哈希 - 盐是附加到原始数据的随机数据。在哈希之前将盐附加到暗码）

提议

• 确保恰当的强尺度算法。不要建设本身的加密算法。仅行使颠末核准的民众算法，如AES，RSA公钥加密和SHA-256等。
• 确保异地备份已加密，但密钥是单独打点和备份的。

无法限定URL会见

描写

Web应用措施在泛起受掩护的链接和按钮之前搜查URL会见权限 每次会见这些页面时，应用措施都必要执行相同的会见节制搜查。

在大大都应用措施中，特权页面，位置和资源不会泛起给特权用户。

通过智能揣摩，进攻者可以会见权限页面。进攻者可以会见敏感页面，挪用函数和查察机要信息。

意义

• 操作此裂痕进攻者可以会见未经授权的URL，而无需登录应用措施并操作此裂痕。进攻者可以会见敏感页面，挪用函数和查察机要信息。

易受进攻的工具：

• 网址

例子

1. 进攻者留意到URL暗示脚色为“/ user / getaccounts”。他修改为“/ admin / getaccounts”。
2. 进攻者可以将脚色附加到URL。

http://www.vulnerablsite.com可以修改为http://www.vulnerablesite.com/admin

提议

1. 实验强盛的会见节制搜查。
2. 身份验证和授权计接应基于脚色。
3. 限定对不必要的URL的会见。

传输层掩护不敷

描写

处理赏罚用户（客户端）和处事器（应用措施）之间的信息互换。应用措施常常通过收集传输敏感信息，如身份验证具体信息，名誉卡信息和会话令牌。

通过行使弱算法或行使逾期或无效的证书或不行使SSL，可以应承将通讯袒露给不受信赖的用户，这也许会危及Web应用措施和/或窃取敏感信息。

意义

• 操作此Web安详裂痕，进攻者可以嗅探正当用户的根据并获取对该应用措施的会见权限。
• 可以窃守名誉卡信息。

易受进攻的工具

• 通过收集发送的数据。

提议

1. 启用安详HTTP并仅通过HTTPS逼迫执行根据传输。
2. 确保您的证书有用且未逾期。

例子：

1.不行使SSL的应用措施，进攻者只会监督收集流量并调查颠末身份验证的受害者会话cookie。进攻者可以窃取该cookie并执行Man-in-the-Middle进攻。

未履历证的重定向和转发

描写

Web应用措施行使很少的要领将用户重定向并转发到其他页面以实现预期目标。

假如在重定向到其他页面时没有正确的验证，进攻者可以操作此成果，并可以将受害者重定向到收集垂纶或恶意软件站点，可能行使转发来会见未经授权的页面。

意义

• 进攻者可以向用户发送包括附加编码恶意URL的真实URL的URL。用户只需看到进攻者发送的URL的真实部门就可以赏识它并也许成为受害者。

例子

1. http://www.vulnerablesite.com/login.aspx?redirectURL=ownsite.com

修改为

http://www.vulnerablesite.com/login.aspx?redirectURL=evilsite.com

提议

只需停止在应用措施中行使重定向和转发。假如行使，请不要在计较目标地时行使用户参数。

假如无法停止方针参数，请确保提供的值有用，并为用户授权。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!