关于检测漏洞类型与检测方法如下表所示:
| 序号 | 漏洞类型 | 检测方法 | 漏洞危害 |
|
| XSS | 通过对交互点传入危险标签和闭合符号,结合前端内容判断XSS 漏洞是否存在。 | XSS 可以在访问了被插入 XSS页面的用户的浏览器上执行 js,从而进行一系列的操作。常见的攻击方式主要是利用 XSS 盗取用户身份,进一步获取权限,甚至利用高级攻击技巧直接攻击企业内网。 |
|
| 权限越权 | 通过对相关参数进行更改,测试返回内容是否有区别,能否获得本账户不该获取的数据、权限。 | 获取其他用户的数据,修改其他用户的信息,乃至直接获取管理员权限从而可以对整个网站的数据进行操作。 |
|
| CSRF | 通过对功能逻辑点进行测试,抓取请求包分析参数,结合不同的用户测试结果,判断 CSRF 是否存在。 | CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等功能逻辑操作;但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个Web 系统的安全。 |
|
| SSRF | 通过对网站获取远程连接信息等交互点进行测试,对回显信息进行判断是否存在 SSRF。 | SSRF 由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,直接导致影响企业内网安全。 |
|
| 敏感信息泄漏 | 通过对各个交互点,敏感目录和文件进行 fuzz,对返回信息进行判断。 | 获取泄漏的服务器,web 应用等相关敏感信息,进一步为后续渗 透收集信息。 |
|
| SQL 注入 | 按照可显注入、报错注入、盲注的方式检测,通过添加‘,”,+,and,or,xor 等闭合符号,逻辑字符判断 SQL 注入漏洞是否存在。 | 攻击者利用 SQL 注入漏洞,可以获取数据库中的多种信息(例如:管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者可以通过 SQL 注入漏洞直接获取webshell 或者服务器系统权限。 |
|
| 文件上传 | 通过白盒或黑盒的方式,对文件上传的功能点进行请求截断,插入恶意字符,修改文件后缀等方式,以落写上传任意后缀文件,拿到 webshell。 | 文件上传攻击被利用于上传可执行文件、脚本到服务器上,进而进一步导致服务器沦陷。 |
|
| 代码注入 | 通过白盒或黑盒的方式,对可能将字符串转为代码执行的功能点进行截断,注入字符等方式以执行攻击者精心构造的恶意代码。 | 代码注入攻击可以使攻击者直接执行任意代码,远程获取服务器代码执行权限甚至直接获取服务器系统权限。 |
|
| 命令注入 | 通过白盒或黑盒的方式,对可能调用外部命令,程序,将用户输入作为系统命令参数拼接的功能点进行截断,注入字符等方式以执行攻击者精心构造的恶意命令。 | 命令执行攻击可以使攻击者直接执行任意命令,读写文件,远程获取服务器系统权限。 |
|
| 运维不当 | 针对测试目标使用的服务,中间件,系统进行测试,获取运维信息或其他配置文件。 | 获取到系统,服务,中间件敏感信息,甚至有可能直接拿到系统权限。 |
|
| XXE | 发送包含有恶意的参数实体和内部实体 XML 请求,观察服务端是否返回相应数据或在外网监听相应端口,查看服务器是否会解析 XML 回连至外网服务器。 | 通过构造恶意 XML 实体,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 |
|
| 弱口令 | 通过对员工账户进行大数据分析和构造密码暴破或撞库攻击。 | 获取员工权限,拿到网站管理或内部系统权限,对进一步渗透打下基础,甚至可能直接获取系统权限。 |
|
| 任意文件读取 | 对系统程序中实现下载文件的功能模块进行测试,可尝试使用“..”跳转绕过下载文件目录限制,读取其他目录下的敏感文件。 | 任意文件读取漏洞能够读取服务器上任意的脚本代码、服务及系统的配置文件等敏感信息,造成企业代码与数据的泄漏,威胁主机安全。 |
|
| 文 件 包 含(RFI/LFI) | 通过白盒或黑盒的方式,对可能使用 $include,$require 等函数的交互点进行测试,以判断是否执行攻击者文件中的代码。 | 文件包含攻击可以使攻击者执行外部恶意代码,以读写文件,获取服务器权限等。 |
|
| 逻辑缺陷 | 针对测试目标的业务场景,对业务进行测试,利用逻辑问题执行非预期的功能。 | 实现刷单、刷评论等恶意操作,或获取到系统,服务,中间件敏感信息,甚至有可能直接拿到系统权限。 |
参考标准如下表所示:
| 序号 | 参考标准 |
| 1 | OWASP Top 10 Application Security Risks - 2010 |
| 2 | OWASP Top 10 - 2013 The Ten Most Critical Web Application Security Risks |
| 3 | GB/T 17859-1999 计算机信息系统安全保护等级划分准则 |
| 4 | GB/T 18336.1-2015 信息技术安全技术信息技术安全评估准则 第1部分:简介和一般模型 |
| 5 | GB/T 18336.2-2015 信息技术安全技术信息技术安全评估准则 第2部分:安全功能组件 |
| 6 | GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则 第3部分:安全保障组件 |
| 7 | GB/T 19716-2005 信息技术信息安全管理实用规则 |
| 8 | GB/T 20984-2007 信息安全技术信息安全风险评估规范 |
| 9 | GB/T 20988-2007 信息系统灾难恢复规范 |
| 10 | GB/Z 20986-2007 信息安全事件分类分级指南 |
| 11 | GB/T 20984-2007 信息安全技术信息安全风险评估规范 |
| 12 | ISO/IEC PDTR 19791: 2004 信息技术-安全技术-运行系统安全评估 |
| 13 | ISO/IEC 13335-1: 2004 信息技术-安全技术-信息技术安全管理指南 |
| 14 | ISO/IEC TR 15443-1: 2005 信息技术安全保障框架 |
| 15 | ISO/IEC 27001:2005 信息技术-安全技术-信息系统规范与使用指南 |
| 16 | OWASP Risk Rating Methodology |
303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
