不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>網(wǎng)絡(luò)基礎(chǔ)知識(shí)>

Web應(yīng)用常見的十大安全漏洞

時(shí)間: 孫勝龍652 分享

  現(xiàn)在許多公司都在用Web應(yīng)用程序,其實(shí)Web應(yīng)用程序中有一些常見的安全漏洞,學(xué)習(xí)啦小編在這里給大家介紹,希望開發(fā)者能在開發(fā)應(yīng)用時(shí)注意。

  1. 注入,包括SQL、操作系統(tǒng)和LDAP注入

  注入缺陷,如sql、os和ldap注入出現(xiàn)在不受信任的數(shù)據(jù)作為命令的一部分或查詢。攻擊者的惡意數(shù)據(jù)可以解釋器執(zhí)行命令或訪問未經(jīng)授權(quán)數(shù)據(jù)。

  2. 有問題的鑒別與會(huì)話管理

  驗(yàn)證和會(huì)話管理相關(guān)的應(yīng)用功能往往不能正確實(shí)施,使得攻擊者能夠妥協(xié)密碼、密鑰或會(huì)話令牌,或利用其他實(shí)現(xiàn)缺陷承擔(dān)其他用戶的身份。

  3. 跨站腳本攻擊(XSS)

  xss使得攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本,可以劫持用戶會(huì)話、污損網(wǎng)站,或者將用戶重定向到惡意網(wǎng)站。

  4. 不安全的直接對(duì)象引用

  直接對(duì)象引用時(shí)發(fā)生于公開內(nèi)部實(shí)現(xiàn)的對(duì)象引用,如文件、目錄或數(shù)據(jù)庫的關(guān)鍵引用,攻擊者可以操縱這些引用來訪問未經(jīng)授權(quán)的數(shù)據(jù)。

  5. 安全配置錯(cuò)誤

  良好的安全需要有一個(gè)安全的配置定義和部署應(yīng)用、框架、應(yīng)用服務(wù)器、web服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺(tái)。安全的重點(diǎn)是實(shí)現(xiàn)和維護(hù),此外,軟件應(yīng)該保持最新。

  6. 暴露敏感數(shù)據(jù)

  許多web應(yīng)用程序不能正確保護(hù)敏感數(shù)據(jù),如信用卡、稅務(wù)id和身份驗(yàn)證憑據(jù)。攻擊者可能會(huì)竊取或修改這些弱受保護(hù)的數(shù)據(jù)進(jìn)行信用卡詐騙、身份盜竊,或其他罪行。如加密敏感數(shù)據(jù)是關(guān)鍵的預(yù)防措施。

  7. 函數(shù)級(jí)訪問控制缺失

  大多數(shù)web應(yīng)用程序的功能級(jí)別的訪問權(quán)限驗(yàn)證功能中可見的用戶界面。然而,應(yīng)用程序需要在服務(wù)器上執(zhí)行相同的訪問控制檢查在每個(gè)函數(shù)。攻擊者將能夠偽造請(qǐng)求,以訪問未經(jīng)授權(quán)功能。

  8. 跨站請(qǐng)求偽造(CSRF)

  csrf攻擊登錄受害者的瀏覽器發(fā)送一個(gè)http請(qǐng)求,向易受攻擊的web應(yīng)用程序,獲取包括受害者在內(nèi)的會(huì)話cookie和任何其他自動(dòng)包含身份驗(yàn)證信息。攻擊者強(qiáng)制受害者的瀏覽器生成請(qǐng)求,導(dǎo)致應(yīng)用程序認(rèn)為是從受害者的合法要求。

  9. 使用存在已知漏洞的組件

  如數(shù)據(jù)庫、框架,和其他軟件模塊,幾乎都擁有完全權(quán)限的運(yùn)行。如果利用易受攻擊的組件,這種攻擊可以導(dǎo)致數(shù)據(jù)丟失或服務(wù)器接管。并使可能的攻擊范圍和影響擴(kuò)大。

  10. 未驗(yàn)證的重定向

  經(jīng)常和轉(zhuǎn)發(fā)用戶重定向到其他網(wǎng)頁的web應(yīng)用程序和網(wǎng)站,并使用不受信任的數(shù)據(jù)來確定目標(biāo)頁面。攻擊者可以重定向到網(wǎng)絡(luò)釣魚或惡意軟件網(wǎng)站。

255046