web应用安全六大类
1、Authentication(验证):用来确认某用户、服务或是应用身份的攻击手段
2、Authorization(授权):用来决定是否某用户、服务或是应用具有执行请求动作必要的攻击手段
3、Client-Side Attacks(客户端攻击):用来扰乱或者是探测Web站点用户的攻击手段
4、Command Execution(命令执行):在web站点上执行远程命令的攻击手段
5、Information Discolsure(信息暴露):用来获取Web站点的具体系统信息的攻击手段
6、Logical Attacks(逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段
漏洞分析十大类
1、注入:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生注入SQL注入、NoSQL注入、OS注入、LDAP注入缺陷
2、失效的身份验证:通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥、或会话令牌
3、敏感信息泄露:许多Web程序和API都无法保护敏感数据,攻击者可通过窃取或修改未加密数据来实施身份盗窃等犯罪行为
4、XML外部实体(XXE):许多较早的或配置错误的XML处理器评估的XML文件中的外部实体引用。攻击者可利用外部实体窃取内部文件、执行远程代码
5、失效的访问控制:未对通过身份验证的用户实施恰当的访问控制
6、安全配置错误:安全配置错误是最常见的安全问题,这通常是由于不安全默认配置、不完整的临时配置、开源云错误等造成
7、跨站脚本(XSS):XSS让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点
8、不完全的反序列化:不安全的反序列化会导致远程代码执行
9、使用含有已知漏洞的组件:组件如库、框架和其他软件模块拥有和应用程序相同的权限
10、不足的日志记录和监控:不足的日志记录和监控,以及事件影响缺失或无效集成,使攻击者能够进一步攻击系统、保持持续性、篡改、提取或销毁数据
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
