WEB常见安全漏洞讲解
常见WEB安全漏洞及整改建议
常见WEB安全漏洞及整改建议随着互联网的迅速发展,WEB应用程序的使用越来越广泛,但通过WEB应用程序进行的信息传输和交互也带来了一系列的安全隐患。
本文将介绍一些常见的WEB安全漏洞,并提供相关的整改建议,以帮助企业提高对WEB安全的保护。
一、跨站脚本攻击(XSS)跨站脚本攻击是一种利用WEB应用程序的漏洞,将恶意脚本注入到页面中,以获取用户信息或者执行其他恶意操作的攻击手段。
为了防止XSS攻击,以下是一些建议:1. 输入验证:对用户输入的数据进行严格的验证和过滤,防止恶意脚本的注入。
2. 输出编码:在将数据输出到页面时,采用正确的编码方式,确保用户输入的内容不会被当作HTML或者JavaScript代码进行解析。
3. Cookie(HttpOnly):将Cookie标记为HttpOnly,防止恶意脚本通过JavaScript进行读取。
二、跨站请求伪造(CSRF)跨站请求伪造是一种攻击者通过伪造合法用户的请求来执行非法操作的手段。
为了防止CSRF攻击,以下是一些建议:1. 验证来源:在WEB应用程序中添加验证机制,确认请求来源的合法性。
2. 添加Token:在每个表单或者URL中添加一个随机生成的Token,确保请求的合法性。
三、SQL注入攻击SQL注入攻击是一种通过WEB应用程序的输入字段注入恶意的SQL代码来获取或修改数据库中的数据的攻击手段。
为了防止SQL注入攻击,以下是一些建议:1. 输入验证:对用户输入的数据进行严格的验证和过滤,确保输入的数据是符合预期的格式。
2. 参数化查询:使用参数化查询或者存储过程来执行SQL查询,避免将用户输入直接拼接成SQL语句的方式。
四、文件上传漏洞文件上传漏洞是一种攻击者通过上传恶意文件来执行远程代码的手段。
为了防止文件上传漏洞,以下是一些建议:1. 文件类型验证:对文件进行类型检查,确保只允许上传合法的文件类型。
2. 文件名检查:检查文件名是否包含恶意代码,避免执行恶意代码。
web安全问题及常见的防范方法
Web安全问题是指在Web应用程序中可能出现的各种安全漏洞和攻击。
这些问题可能会导致用户数据泄露、系统瘫痪、恶意软件感染等严重后果,因此需要采取一系列防范措施来保护Web应用程序的安全。
以下是一些常见的Web安全问题和防范方法:1. SQL注入攻击:SQL注入攻击是指攻击者通过在Web应用程序的输入框中注入SQL代码来获取敏感数据。
防范方法包括使用预编译语句、限制输入框的输入长度、对输入数据进行过滤和验证等。
2. 跨站脚本攻击(XSS):XSS攻击是指攻击者通过在Web应用程序的输出中插入恶意脚本代码来获取用户数据。
防范方法包括对输出进行过滤和转义、使用HTTP Only Cookie、限制Cookie的访问权限等。
3. 跨站请求伪造(CSRF)攻击:CSRF攻击是指攻击者通过在Web应用程序中伪造请求来执行恶意操作。
防范方法包括使用随机生成的Token验证请求的来源、限制请求的来源、使用验证码等。
4. 文件上传漏洞:文件上传漏洞是指攻击者通过上传恶意文件来获取系统权限或窃取用户数据。
防范方法包括限制上传文件的类型和大小、对上传的文件进行检查和过滤、将上传文件保存在安全的位置等。
5. 密码安全问题:密码安全问题包括弱密码、密码泄露、密码重用等。
防范方法包括强制用户使用强密码、对密码进行加密存储、限制密码的尝试次数等。
6. 网络安全问题:网络安全问题包括DDoS攻击、黑客入侵等。
防范方法包括使用防火墙、入侵检测系统等网络安全设备,加强网络安全意识培训等。
总之,Web安全问题是一个复杂的问题,需要采取多种防范措施来保护Web应用程序的安全。
同时,需要定期进行漏洞扫描和安全审计,及时发现和修复潜在的安全漏洞。
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法1.1SQL注入漏洞风险等级:高危漏洞描述:SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。
漏洞危害:1) 机密数据被窃取;2) 核心业务数据被篡改;3) 网页被篡改;4) 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。
修复建议:1)在网页代码中对用户输入的数据进行严格过滤;(代码层)2)部署Web应用防火墙;(设备层)3)对数据库操作进行监控。
(数据库层)代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。
原因:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select ,from ,where ,and, or ,order by 等等。
所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行,必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。
其他防御方式:正则过滤1.2目录遍历漏洞风险等级:中危漏洞描述:通过该漏洞可以获取系统文件及服务器的配置文件。
利用服务器API、文件标准权限进行攻击。
漏洞危害:黑客可获得服务器上的文件目录结构,从而下载敏感文件。
Web安全漏洞与防御方法
Web安全漏洞与防御方法随着互联网的快速发展,Web应用程序已经成为人们工作和生活的重要组成部分。
然而,Web安全问题也随之而来。
Web安全漏洞给用户的数据安全以及企业的声誉带来了巨大的威胁。
因此,了解Web安全漏洞以及如何防范它们变得尤为重要。
本文将详细介绍几种常见的Web安全漏洞以及相应的防御方法,以帮助读者加强Web安全意识并为自己和企业提供更好的保护。
一、SQL注入漏洞SQL注入漏洞是最常见也是最危险的Web安全漏洞之一。
攻击者可以通过在Web应用程序的输入框中插入恶意的SQL语句,从而获取或修改数据库中的数据。
为了防范SQL注入漏洞,可以采取以下步骤:1. 使用参数化查询或预编译语句:这是防范SQL注入最有效的方法之一。
通过使用参数化查询或预编译语句,可以将用户输入数据与SQL语句分开,从而防止恶意代码的注入。
2. 过滤和验证用户输入:对于从用户接收的输入数据,应该进行过滤和验证,以确保其符合预期的格式和内容。
可以使用正则表达式或自定义的过滤函数对用户输入进行验证,并拒绝非法的输入。
3. 最小权限原则:数据库用户只应具有最低限度的权限。
例如,只给予读取和写入所需的权限,而不是赋予完全的数据库管理员权限。
这样可以降低被攻击者利用的风险。
二、跨站脚本攻击(XSS)跨站脚本攻击是指攻击者通过在Web应用程序中插入恶意脚本代码,从而在用户的浏览器中执行该代码。
这种攻击方式可以导致用户的隐私信息泄露,甚至使用户受到更严重的攻击。
以下是一些防范XSS攻击的方法:1. 输入验证和过滤:对于从用户接收的输入数据,应该进行验证和过滤。
可以使用特殊字符过滤库来阻止恶意脚本的注入。
2. 转义输出数据:在将用户输入的数据输出到页面上时,应该对其进行转义,以确保特殊字符不会被浏览器解释为脚本代码。
3. 设置合适的CSP策略:内容安全策略(CSP)是一种通过设置HTTP头来限制浏览器加载内容的方法。
通过设置合适的CSP策略,可以有效减少XSS攻击的风险。
常见的web漏洞原理及解决办法
常见的web漏洞原理及解决办法1. web应⽤功能与安全隐患的对应关系2. 常见web漏洞原理及解决⽅法web安全的根源:程序要处理的输⼊数据都是有害的1. XSS跨站原理:程序中输出的数据中含有脚本执⾏的内容,在经过浏览器解释后,数据中的脚本内容被成功执⾏产⽣的地⽅:web应⽤中⽣成HTML和Javascript的地⽅影响:窃取COOKIE值,通过Javascript攻击,篡改⽹页类型:反射性、存储型、DOM型解决⽅法:输出的数据要转译,⽣成正确的Html; 设置HTTP响应的字符编码; 输⼊校验; 给COOKIE设置HttpOnly属性; 关闭TRACE⽅法备注:正确编码,可以完全杜绝XSS漏洞的发⽣2. SQL注⼊原理:程序处理的数据介⼊到数据库的逻辑时,输⼊的数据在被数据库解释的过程中,数据被当做数据库指令被执⾏了产⽣的地⽅:调⽤SQL语句的地⽅影响:信息泄露;篡改数据;绕过认证;擅⾃运⾏程序、浏览或编辑⽂件解决⽅法:使⽤静态占位符调⽤SQL语句;使⽤成熟的数据库操作组件备注:正确编码,可以完全杜绝SQL注⼊漏洞的发⽣3. 跨站请求伪造(CSRF)原理:程序在执⾏关键处理(转账、付款、修改密码等)的时候,没有额外的认证机制,确认是⽤户本⼈⾃⼰的⾏为产⽣的地⽅:执⾏关键处理的页⾯(仅使⽤COOKIE进⾏会话管理的应⽤,仅依靠HTTP认证、SSL客户端证书、⼿机移动ID来识别⽤户的应⽤)影响:⾮⽤户本意的情况下,存在CSRF的关键逻辑被执⾏解决⽅法:执⾏关键处理前,确认是正规⽤户发起的请求,常⽤⼿段有:嵌⼊机密令牌、再次输⼊密码、检验Referer等备注:逻辑漏洞,需要借助其他⼿段确认是⽤户⾃⼰的⾏为,⽐如邮件、⼿机短信、⽤户的额外⼝令等附:XSS与CSRF的区别4. 不完善的会话管理原理:会话ID泄露,⽐如通过XSS窃取、URL/Referer泄露、HTTP头注⼊、可预测会话ID等⽅法获得产⽣的地⽅:使⽤会话管理的地⽅影响:⽤户信息泄露、⽤户权限操作解决⽅法:使⽤web框架提供的会话管理功能;认证成功之后,更改会话ID备注:建议COOKIE中不存储除会话功能之外的数据5. 重定向的安全隐患原理:web应⽤有时会有重定向外界URL的功能,该URL可以被⽤户指定或改写产⽣的地⽅:存在重定向功能的地⽅;存在HTTP头注⼊的地⽅影响:钓鱼⽹站解决⽅法:设置跳转⽩名单;使⽤数字等标识代表跳转地址;消除HTTP头注⼊的漏洞备注:6. 越权原理:应⽤执⾏⽤户的某些操作的时候,没有校验⽤户的权限产⽣的地⽅:没⽤校验⽤户权限的逻辑处影响:⽤户的逻辑被执⾏,造成信息泄露、⽤户的功能被冒⽤解决的⽅法:⽤户⾝份标识存在session当中并使⽤它进⾏校验,禁⽤只⽤客户端传⼊⽤户唯⼀标识备注:分为⽔平越权和垂直越权7. 发送邮件的安全隐患原理:数据未过滤,导致邮件头注⼊;hidden参数保存收件⼈信息;邮件服务器开发转发;产⽣的地⽅:使⽤邮件功能的地⽅影响:邮件标题、发件⼈或正⽂被篡改;被⽤来发⽣垃圾、病毒邮件;解决⽅法:校验外界输⼊参数;邮件服务器不开启转发功能;备注:8. OS命令注⼊原理:在应⽤中,有提供执⾏OS系统命令的功能时,输⼊参数未过滤或转译,参数内容被解释成命令被执⾏产⽣的地⽅:有使⽤OS系统命令调⽤的地⽅影响:使⽤应⽤的权限,执⾏系统命令,造成信息泄露、篡改或删除数据、对外发动攻击、使系统停⽌等解决的⽅法:避免使⽤内部调⽤shell的函数、不将外部输⼊的字符串传递给命令⾏参数、使⽤安全的函数传递给OS命令的参数进⾏转译备注:9. ⽂件上传相关的问题原理:⽂件上传的地⽅未对安全弱点做防护产⽣的地⽅:提供⽂件上传功能的地⽅影响:上传的Dos攻击、Webshell、恶意⽂件、越权下载等解决的⽅法:修改⽂件名称、⽂件所在⽬录不被解释成执⾏脚本、限制⽂件上传的⼤⼩速率等、校验⽤户权限、检查⽂件内容备注:10. 共享资源的问题原理:竞争共享资源处理不完善,导致竞态条件漏洞产⽣的地⽅:存在竞争共享资源的地⽅影响:页⾯显⽰其它⽤户的个⼈信息,数据库信息不⼀致,⽂件内容被破坏解决的⽅法:不使⽤共享资源,针对共享资源实施完善的互斥锁备注:11. 服务端请求伪造(SSRF)原理:服务器替代客户端访问后端资源时,未做验证,造成该接⼝被恶意使⽤影响:渗透内⽹解决的⽅法:⽩名单过滤请求内容备注:。
WEB常见网络安全漏洞讲解
可以插入SQL语句并执行
TOP-1 注入
漏洞案例
应用程序在下面存在漏洞的 SQL语句的构造中使用不可信数据: String query = " SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
TOP-1 注入 防范
1 参数校验:
传递的参数做校验,如果不合法,直接拒绝请求。 1.1 如果是数字类型,判断是否为数字,如果不是,直接拒绝请求 1.2 如果有格式的类型(比如 日期,email,电话,身份证号码等等),判断是非符合格式,如果不符合格式,拒绝请求。 1.3 如果是字符串类型,没有特殊的格式,需要对字符串长度做校验,如果长度大于数据库该字段的定义长度,直接拒绝请求。
3数据库权限做限制
3.1 不能对业务账号开 select information_schema 权限。因为一旦某个漏洞被成功注入,information_schema库暴露所有库, 所有表,字段的定义。给sql注入者提供了便利,,, 注入者不需要猜测表结构,就能轻松获取所有表的定义,进而轻松获取所有 表的数据
攻击者在浏览器中将“ id ”参数的值修改成 10000’ or ’1’=’1。 如: /app/accountView?id= 10000’ or ’1’=’1 这样查询语句的意义就变成了从 accounts表中返回所有的记录。
SELECT * FROM accounts WHERE custID‘= 1000‘0 ;
web安全相关概念
web安全相关概念Web安全是指保护Web应用程序及其环境免受未经授权的入侵、破坏和数据泄露等风险。
它涵盖了网络安全、系统安全和数据安全等多个方面,旨在确保Web应用的安全性和稳定性。
在Web安全领域,一些常见的概念和漏洞如下:1. XSS攻击:跨站脚本攻击(Cross-Site Scripting),是指攻击者通过在Web页面中插入恶意脚本,诱导用户点击或执行这些脚本,从而窃取用户数据或进行其他恶意操作。
2. CSRF攻击:跨站请求伪造(Cross-Site Request Forgery),是指攻击者通过伪造用户身份,利用用户的授权信息发起恶意请求,从而执行未经授权的操作。
3. 钓鱼攻击:通过伪造合法网站或链接,诱使用户输入敏感信息,如用户名、密码等,从而窃取用户数据或进行其他恶意操作。
4. SQL注入攻击:通过在Web表单中注入恶意SQL语句,篡改数据库内容或获取敏感数据。
5. 远程代码执行:攻击者通过在Web应用程序中注入恶意代码,利用服务器端的安全漏洞执行这些代码,从而获得对服务器的控制权。
6. 文件上传漏洞:攻击者通过上传恶意文件到服务器,利用服务器端的安全漏洞执行这些文件,从而获得对服务器的控制权。
7. 会话劫持:攻击者通过窃取用户的会话令牌或利用应用程序的安全漏洞,冒充用户身份进行恶意操作。
8. 密码泄露:由于应用程序或系统的安全漏洞,导致密码泄露给未经授权的攻击者,从而造成用户数据泄露等风险。
9. 安全更新漏洞:由于应用程序或系统的安全更新未能正确实施或存在漏洞,导致攻击者可以利用这些漏洞绕过安全更新继续攻击。
为了保护Web应用程序及其环境的安全,需要采取一系列的安全措施,如输入验证、输出编码、密码加密、会话管理、访问控制等。
同时,定期更新和维护系统及应用也是保障Web安全的重要手段。
Web中间件常见安全漏洞总结
Web中间件常见安全漏洞总结今天看到⼀篇公众号⽂章写的关于中间件漏洞的整理,⾥⾯有部分是我不知道的,转载⼀下,第⼀章:IISIIS 6 解析漏洞IIS 7 解析漏洞PUT任意⽂件写⼊IIS短⽂件漏洞HTTP.SYS远程代码执⾏ (MS15-034)RCE-CVE-2017-7269第⼆章:Apache未知扩展名解析漏洞AddHandler导致的解析漏洞Apache HTTPD 换⾏解析漏洞(CVE-2017-15715)第三章:NginxNginx配置⽂件错误导致的解析漏洞Nginx 空字节任意代码执⾏漏洞Nginx ⽂件名逻辑漏洞(CVE-2013-4547)Nginx 配置错误导致的安全问题第四章:TomcatTomcat 任意⽂件写⼊(CVE-2017-12615)Tomcat 远程代码执⾏(CVE-2019-0232)Tomcat + 弱⼝令 && 后台getshell漏洞Tomcat manager App 暴⼒破解第五章:JBossJBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)JBoss JMXInvokerServlet 反序列化漏洞JBoss EJBInvokerServlet 反序列化漏洞JBoss <=4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)Administration Console 弱⼝令JMX Console未授权访问第六章:weblogicXMLDecoder 反序列化漏洞(CVE-2017-10271 & CVE-2017-3506)Weblogic wls9_async_response,wls-wsat 反序列化远程代码执⾏漏洞(CVE-2019-2725)Weblogic WLS Core Components 反序列化命令执⾏漏洞(CVE-2018-2628)Weblogic 任意⽂件上传漏洞(CVE-2018-2894)Weblogic SSRF漏洞(CVE-2014-4210)Weblogic 弱⼝令 && 后台getshell第七章:GlassFishGlassFish Directory Traversal(CVE-2017-1000028)GlassFish 后台Getshell第⼋章:WebSphereJava反序列化(CVE-2015-7450)弱⼝令 && 后台Getshell1、IISIIS是Internet Information Services的缩写,意为互联⽹信息服务,是由微软公司提供的基于运⾏Microsoft Windows的互联⽹基本服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3数据库权限做限制
3.1 不能对业务账号开 select information_schema 权限。因为一旦某个漏洞被成功注入,information_schema库暴露所有库, 所有表,字段的定义。给sql注入者提供了便利,,, 注入者不需要猜测表结构,就能轻松获取所有表的定义,进而轻松获取所有 表的数据
TOP-3 跨站脚本(XSS)
什么是跨站脚本攻击?
往Web页面里插入恶意html/js代码
插入
当用户浏览该web页面时
攻击 浏览
插入HTML/JS代码并执行
嵌入Web页面里面的html代码会被执行
执行
从而达到攻击用户的特殊目的
TOP-3 跨站脚本(XSS) 防范
最好的办法是根据数据将要置于的HTML上下文(包括主体、 属性、 JavaScript、 CSS或URL) 对所有的不可信数据进行恰当的转义 ( escape) 。 更多关于数据转义技术的信息见OWASP XSS PrevenPon Cheat Sheet 。
TOP-6 敏感信息泄露
攻击案例 案例 #1: 一个应用程序加密存储在数据库的信用卡信息,以防止信用卡信息暴 露给最终用户 。 但是, 数据库设置为对信用卡表列的询进行自动解密, 这就使 得 S QL注入漏洞能够获得所有信用卡信息的明文。 该系统应该被设置为前端应 用程序使用公钥对信用卡信息加密, 后端应用程序只能使用私钥解密。
案例 #2: 应用程序超时设置不当。用户使用公共计算机访问网站。离开时,该用户没有点 击退出,而是直接关闭浏览器。攻击者在一个小时后能使用相同浏览器通过身份认证。 案例 #3: 内部或外部攻击者进入系统的密码数据库.存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得。
TOP-2 失效的身份认证和会话管理
攻击者在浏览器中将“ id ”参数的值修改成 10000’ or ’1’=’1。 如: /app/accountView?id= 10000’ or ’1’=’1 这样查询语句的意义就变成了从 accounts表中返回所有的记录。
‘10000 ‘; SELECT * FROM accounts WHERE custID= SELECT * FROM accounts WHERE custID= ‘ ‘;
TOP-7 功能级访问控制缺失
未登录用户 (游客)
有漏洞
/app/getappInfo
普通用户 功能页面
UI JS
有漏洞
/app/admin_getappInfo
已登录用户 (普通用户)
管理员 功能页面
TOP-8 跨站请求伪造(CSRF)
2 使用 PrepareStatement。PrepareStament可以有效防御sql注入攻击。
PrepareStatement原理是:mysql执行树会根据预设的参数做转义,可以把注入的sql当作一个参数执行,而不会当作语句执行 php 应用, 可以使用PrepareStatement 替代 Statement写法。
WEB常见安全漏洞讲解
Ana
应用程序安全风险
攻击者 攻击向量 安全漏洞 安全控制 技术影响 业务影响
影响 资产 功能 攻击 漏洞 漏洞 控制 影响 资产
攻击
攻击
漏洞
漏洞
控制 控制
影响
OWASP TOP 10 漏洞
1
2 3 4 5
注入
6
7 8
敏感信息泄露
功能级访问控制缺失 跨站请求伪造
失效的身份认证和会话管理
案例 #3: 应用服务器配置允许堆栈跟踪返回给用户, 这样就暴露了潜在的漏洞。 攻击 者热衷于收集错误消息里提供的额外信息。
案例 #4: 应用服务器自带的示例应用程序没有删除。 该示例应用有已知安全漏洞, 攻 击者可以利用这些漏洞破坏您的服务器。
TOP-6 敏感信息泄露
首先你需要确认的是哪些数据是敏感数据而需要被加密。例如: 密码、 信用卡、 医疗记录、 个人信息应该被加密。对于这些数据, 要确保: 1. 当这些数据被长期存储的时候, 无论存储在哪里, 它们是否都被加密, 特别 是对这些数据的备份? 2. 无论内部数据还是外部数据, 传输时是否是明文传输?在互联网中传输明文数 据是非常危险的。 3. 是否还在使用任何旧的或脆弱的加密算法? 4. 加密密钥的生成是否是脆弱的, 或者缺少恰当的密钥管理或缺少密钥回转? 5. 当浏览器接收或发送敏感数据时, 是否有浏览器安全
案例 #2: 一个网站上所有需要身份验证的网页都没有使用 S S L。 攻击者只需 监控网络数据流(比如一个开放的无线网络或其社区的有线网络) , 并窃取一 个已验证的受害者的会话 cooki e。 然后, 攻击者利用这个 cooki e执行重放攻 击并接管用户的会话从而访问用户的隐私数据
案例 #3: 密码数据库使用 u n s al ted的哈希算法去存储每个人的密码。 一个文 件上传漏洞使黑客能够获取密码文件。所有这些 u n s al ted
跨站脚本 不安全的直接对象引用 安全配置错误
9
使用含有已知漏洞的组件
10 未验证的重定向和转发
TOP-1 注入
原因:应用程序缺少对输入进行安全性设 计。 方式:攻击者将一些包含指令的数据发送 给解释器,欺骗解释器执行计划外的命令。
危害:读取或篡改数据库的信息,甚至能 够获得服务器的包括管理员的权限。
3.2 各个业务账号只能访问自己业务的数据。这样即使某个漏洞被注入,也只是影响到该业务的数据,不会影响到其他业务的模块
TOP-2 失效的身份认证和会话管理
漏洞案例
案例 #1: 机票预订应用程序支持 URL重写, 把会话 ID放在URL里: /sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV ?dest=Ha waii 该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面链接通过邮件发给 他朋友们,并不知道自己已经泄漏了自己的会话ID。当他的朋友们使用上面的链接时,他们将 会使用他的会话和信用卡。
TOP-8 跨站请求伪造(CSRF)
请求的参数可预知 诱惑让已登录用户访问
构造的请求自动提交 攻击者在构造这个请求 链接 or 页面 以用户的身份向 服务器发送请求 浏览器的cookie机制
TOP-10 未验证的重定向和转发
验证应用程序是否有未验证的重定向或转发的最好的方法是: 1. 审查所有使用重定向或转发的代码。 每一次使用, 都应该验证目标 URL是否被包含在任何参数值中。 如果是, 且目标URL并不在经过验证 的白名单中, 那么就是存在漏洞的。 2. 此外, 抓取网站内容查看是否能产生重定向( HTTP响应代码从300 到307, 通常是302) 。 检查重定向之前提供的参数是否是目标URL或 其一部分。 如果是的话,更改URL的目的地, 并观察网站是否重定向到 新的目标。 3. 如果没有代码, 检查所有的参数以辨别它们是否看起来像一个重定向 或转发目的地网址的一部分, 对那些看起来像的参数进行测试。
TOP-1 注入
什么是SQL注入?
通过把SQL命令插入用户提交的数据中,改变代码原有SQL语句的语义,从而达到 控制 服务器执行恶意的SQL命令。
可以插入SQL语句并SQL语句的构造中使用不可信数据: String query = " SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
TOP-1 注入 防范
1 参数校验:
传递的参数做校验,如果不合法,直接拒绝请求。 1.1 如果是数字类型,判断是否为数字,如果不是,直接拒绝请求 1.2 如果有格式的类型(比如 日期,email,电话,身份证号码等等),判断是非符合格式,如果不符合格式,拒绝请求。 1.3 如果是字符串类型,没有特殊的格式,需要对字符串长度做校验,如果长度大于数据库该字段的定义长度,直接拒绝请求。 比如 姓名,数据库定义的事 varchar(12),如果输入超过12个字符,直接拒绝请求
TOP-1 注入
如何识别SQL注入
数字型 单引号: /xx.asp?id=1’ 逻辑真假:/xx.asp?id=1 and 1=1 /xx.asp?id=1 and 1=2 加减符号:/xxx.asp?id=2-1 字符型 单引号: /xx.asp?name=xx’ 逻辑真假:/xx.asp?name=xx’ and ‘a’=‘a /xx.asp?name=xx’ and ‘a’=‘b 加减符号:/xxx.asp?name=pet’+’ter
1. 用户身份验证凭证没有使用哈希或加密保护。 2. 认证凭证可猜测, 或者能够通过薄弱的的帐户管理功能(例如账 户创建、 密码修改、 密码恢复 , 弱会话 ID)重写。 3. 会话 ID暴露在 URL里 (例如 , URL重写) 。 4. 会话 ID容易受到会话固定( sessionfixaPon) 的攻击。??? 5. 会话 ID没有超时限制, 或者用户会话或身份验证令牌特别是单点 登录令牌在用户注销时没有失效。 6. 成功注册后 ,会话 ID没有轮转。 7. 密码、 会话 ID和其他认证凭据使用未加密连接传输。
提示错误 返回正确 返回错误 返回与id=1相等
提示错误 返回正确 返回错误 返回与name=petter相同
搜索型 单引号: /xx.asp?keyword=1’ 提示错误 逻辑真假:/xx.asp?keyword=1%’ and ‘%’=‘ 返回查询1的内容 /xx.asp?keyword=1%’ and ‘%1’=‘ 无内容返回或不是1的内容
谢谢!
TOP-4 不安全的直接对象引用