现在许多
公司都在使用Web
应用程序。实际上,Web应用程序中存在一些常见的安全漏洞。萧边在这里为您
介绍,希望开发商能够重视开发应用。
1。注入,包括SQL、
操作系统和LDAP注入
注入缺陷,如SQL、OS和LDAP注入,作为不受信任的数据的一部分或
查询作为
命令出现,攻击者的恶意数据可用于解释器
执行命令或访问未经授权的数据。
2。问题
识别和会话
管理 验证和会话管理相关的应用程序
功能通常不
正确实现,允许攻击者破坏
密码、密钥或会话令牌,或使用其他实现来假定其他
用户身份。
三.跨站
脚本攻击(XSS)
XSS允许攻击者在受害者的
浏览器执行脚本,劫持用户会话,污损
网站,或将用户重定向到恶意网站。
4。不安全直接对象引用
直接对象引用发生在对象在公共中引用时,如
文件、
目录或数据库的键引用。攻击者可以操纵这些引用来访问未经授权的数据。
5。安全
配置错误 良好的安全性需要安全的配置定义和部署应用程序、框架、应用
服务器、Web服务器、数据库服务器和平台。安全性的重点是实现和
维护,此外,软件应保持最新。
6。暴露敏感数据
许多Web应用程序不能正确
保护敏感数据,如信用卡、税务ID和身份验证凭证。攻击者可能窃取或
修改这些弱保护的数据,用于信用卡欺诈、身份
盗用或其他犯罪。
7。缺少功能级别的访问
控制 大多数Web应用程序都有一个功能级别的访问
权限来验证该
函数中可见的用户
界面。然而,应用程序需要对服务器上的每个功能执行相同的访问控制
检查。攻击者将能够伪造请求访问未授权的函数。
8。跨站请求伪造(CSRF)
CSRF攻击的受害者的
登录浏览器发送一个HTTP请求到脆弱的Web应用程序,获取会话cookie,包括受害者,和任何其他自动包含身份验证信息。攻击者迫使受害者的浏览器生成一个请求,导致应用程序认为它是从被害人的合法要求。
9。使用已知漏洞的
组件 如数据库、框架和其他软件模块,几乎所有这些都具有完全权限。如果您使用易受攻击的组件,这种攻击可能导致数据丢失或服务器接管。
10。未经证实的重定向
经常和前向用户将Web应用程序和网站重定向到其他Web页面,并使用不可信的数据来确定
目标页。攻击者可以重定向到钓鱼或恶意软件站点。