top 1–注入
-
介绍
简单来说,注入就是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指定的数据发给解释器,解释器会把收到指定的数据转化成指令执行。常见的注入包括sql注入,os ,ldap 等等,最常见的就是sql注入了。这种注入往往造成的危害很大,一般整个数据库的信息都能被读取或篡改。通过sql注入,攻击者很有可能获取更多的权限,包过管理员的权限。 -
危害
注入能导致数据丢失或数据损害、缺乏审计或是拒绝服务。注入漏洞甚至可以完全控制主机。 -
防范
使用安全的API,避免使用编辑器。
对输入的特殊字符进行Escape转义处理。
使用白名单来规范划的输入验证方法。
top 2–失效身份验证和会话管理
- 介绍
与验证和会话管理相关的应用程序功能往往得不到正确的实施,这就导致攻击者破话密码、秘钥、会话令牌或利用漏洞冒充其他用户信息。 - 危害
这些漏洞可能导致部分甚至全部账户遭受攻击。一旦攻击成功,攻击者会执行合法用户的一切操作。因此特权账户会造成更大的破坏。 - 防范
使用内置的会话功能。
通过认证问候:使用单一的入口点。
确保一开始就登陆ssl保护的网页。
top 3–跨站
-
介绍
跨站脚本是最常见的web应用安全漏洞。当应用程序在发送给浏览器的页面中包含用户提供的数据但没有经过适当验证或者转译,就会导致跨站脚本漏洞。 -
危害
攻击者能在受害者的浏览器中执行脚本劫持用户会话、迫害网站、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器等等。 -
种类
已知有三种著名漏洞:1.存储式 ,2. 反射式 ,3.基于DOM。
反射式跨站脚本通过测试或代码分析很容易找到。
最低0.47元/天 解锁文章
扫一扫
1910
到【灌水乐园】发言
