一般绝大部分的web应用攻击都是特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法保证能够有效运行。有一些被忽略的安全错误可能会威胁到web应用的安全。
存在的SQL注入漏洞
SQL注入依然活跃着,安全监控公司的研究显示,SQL注入攻击长期以来一直都是最普遍的web攻击方式,占该公司客户报告事件的55%。不要存侥幸心里觉得SQl注入已经不存在了。
不安全的反序列化
反序列化过程就是应用接受序列化对象并将其还原的过程。如果序列化过程不安全,可能会出现大问题。Imperva Incapsula报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。
该不安全性可轻易导致web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击。开放web应用安全计划去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄漏事件——据称就是应用安全反序列化漏洞引起的。
未使用安全策略阻止跨站脚本
XSS是忘带漏洞web应用中出入恶意代码的常见手段。XSS的目标不是web应用,而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略,这一技术发展良好但仍被大多数汪涵采纳。
信息泄漏,50%的应用都有某种信息泄漏漏洞。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行下一步的攻击。信息泄漏可以是用户名、口令泄漏,也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄漏懂数据的种类而定。问题在于,即便是软件版本号泄漏了,也能够给黑客带来攻击上的优势。