Web应用程序中十种常见安全漏洞的基本知识

现在许多公司都在使用Web应用程序。实际上，Web应用程序中存在一些常见的安全漏洞。萧边在这里为您介绍，希望开发商能够重视开发应用。
1。注入，包括SQL、操作系统和LDAP注入
注入缺陷，如SQL、OS和LDAP注入，作为不受信任的数据的一部分或查询作为命令出现，攻击者的恶意数据可用于解释器执行命令或访问未经授权的数据。
2。问题识别和会话管理
验证和会话管理相关的应用程序功能通常不正确实现，允许攻击者破坏密码、密钥或会话令牌，或使用其他实现来假定其他用户身份。
三.跨站脚本攻击（XSS）
XSS允许攻击者在受害者的浏览器执行脚本，劫持用户会话，污损网站，或将用户重定向到恶意网站。
4。不安全直接对象引用
直接对象引用发生在对象在公共中引用时，如文件、目录或数据库的键引用。攻击者可以操纵这些引用来访问未经授权的数据。
5。安全配置错误
良好的安全性需要安全的配置定义和部署应用程序、框架、应用服务器、Web服务器、数据库服务器和平台。安全性的重点是实现和维护，此外，软件应保持最新。
6。暴露敏感数据
许多Web应用程序不能正确保护敏感数据，如信用卡、税务ID和身份验证凭证。攻击者可能窃取或修改这些弱保护的数据，用于信用卡欺诈、身份盗用或其他犯罪。
7。缺少功能级别的访问控制
大多数Web应用程序都有一个功能级别的访问权限来验证该函数中可见的用户界面。然而，应用程序需要对服务器上的每个功能执行相同的访问控制检查。攻击者将能够伪造请求访问未授权的函数。
8。跨站请求伪造（CSRF）
CSRF攻击的受害者的登录浏览器发送一个HTTP请求到脆弱的Web应用程序，获取会话cookie，包括受害者，和任何其他自动包含身份验证信息。攻击者迫使受害者的浏览器生成一个请求，导致应用程序认为它是从被害人的合法要求。
9。使用已知漏洞的组件
如数据库、框架和其他软件模块，几乎所有这些都具有完全权限。如果您使用易受攻击的组件，这种攻击可能导致数据丢失或服务器接管。
10。未经证实的重定向
经常和前向用户将Web应用程序和网站重定向到其他Web页面，并使用不可信的数据来确定目标页。攻击者可以重定向到钓鱼或恶意软件站点。