安全测试之使用含有已知漏洞的组件

最新推荐文章于 2024-02-23 10:24:09 发布
最新推荐文章于 2024-02-23 10:24:09 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: 安全测试 文章标签: 安全测试 含有已知漏洞的组件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quiet_girl/article/details/50623984
版权

一、使用含有已知漏洞的组件的概念

应用中使用的一些组件,比如:库文件、框架和其他软件模块,几乎总是以全部的权限运行。如果使用含有已知漏洞的组件,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。危害比较严重

二、针对这种漏洞的防御措施

  1. 首先,这种漏洞不是因为代码不严密,也不是因为没有加密等,而是因为引用了含有漏洞的组件。

  2. 这就要求我们,尽量使用比较安全的组件,另外,对于组件的接口的安全性等也需要测试。

nana-li
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP靶机、安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接在虚拟机导入即可使用 OWASP靶机是一个开放式Web应用程序安全项目组织,旨在帮助计算机和互联网应用程序提供公正、...A9—使用含有已知漏洞组件 A10—未验证的重定向和转发
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
现在,“使用具有已知漏洞组件”已成为安全风险列表的一部分,不安全的库可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS库版本的使用。 Retire.js可以通过多种方式使用:命令行...
使用含有已知漏洞组件
whoim_i的博客
11-22 3257
原理 大多数的开发团队并不会把及时更新组件和库当成他们的工作重心,更不关心组件和库的版本,然而应用程序使用带有已知漏洞组件会破坏应用程序防御系统,可能导致严重的数据丢失或服务器接管。 防范 1.标识正在使用的所有组件和版本,包括所有依赖项 2.及时关注这些组件的安全信息并保证他们是最新的。 3.建立使用组件的安全策略,禁止使用未经安全评估的组件。 4.在适当情况下,对组件进行安全封装,精简不必要...
OWASP.A9使用具有已知漏洞组件漏洞解读及检测方法
明光札记
10-07 1030
使用具有已知漏洞组件漏洞介绍 漏洞成因 应用程序技术栈中使用的框架、库、工具包出现了已知的安全漏洞。 攻击方式 利用应用程序技术栈中的框架、库、工具等的已知漏洞进行攻击,获取高权限或者敏感数据。 漏洞影响 敏感数据泄露,提升权限,远程代码执行等,具体影响视漏洞可利用程度而定。 漏洞防护 1、删除所有不必要的依赖项。 2、了解并掌握自己所使用的都有所有组件的清单。 3、监视诸如国家信息安全漏洞库cnnvd,通用漏洞库cve,以查找组件中的漏洞。 4、定期更新升级自己所用组件。 5、尽量不采用那些维护不积极的
A9 使用含有已知漏洞组件
weixin_43355264的博客
02-11 975
使用含有已知漏洞组件 - 应用描述 对一些漏洞很容易找到其利用程序,但对其它的漏洞则需要定制开发。 • 这种安全漏洞普遍存在。基于组件开发的模式使得多数开发团队根本不了解 其应用或API中使用组件,更谈不上及时更新这些组件了。 • 如Retire.js之类的扫描器可以帮助发现此类漏洞,但这类漏洞是否可以被利用 还需花费额外的时间去研究。...
Web服务器常见8种安全漏洞
Hydra的博客
11-19 9946
物理路径泄露    物理路径泄露一般是由于Web服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,或是请求一个Web服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页  面。  目录遍历    目录遍历对于Web服务器来说并不多见,通过对任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是...
网安云知识 | OWASP TOP 10之使用含有已知漏洞组件
最新发布
网 安 云
02-23 412
这种安全漏洞非常普遍。基于组件开发的模式使得多数开发团队根本不了解其应用或API中使用组件,更谈不上及时更新这些组件了。如Retire.js之类的扫描器可以但这类漏洞是否可以被利用还需花费额外的时间去研究。虽然对于一些已知漏洞其影响很小,但目前很多严重的安全事件都是利用组件中的已知漏洞。根据你所要保护的资产,此类风险等级可能会很高。1、漏洞产生原因开发者只关注自己开发的代码,不关心使用的第三方代码安全。开发者不知道自己所有使用组件或依赖的组件版本信息(包括: 服务端和客户端)。
OWASP TOP10 大主流漏洞原理和防范措施,易理解版
小飞飞的博客
02-23 3097
关于近些年OWSAP十大主流漏洞改动,原理及防范措施,对新手及其友好,容易理解易上手
使用已知漏洞组件(四)
努力让自己更优秀的博客
09-19 1548
如何预防 软件项目应该遵循下面的流程: 1,移除不使用的依赖,不需要的功能、组件和文档; 2,利用工具如 versions、DependencyCheck、retire.js 等来持续的记录客户端和服务器以及它们的依赖库的版本信息; 3,对使用组件持续监控如CVE和NVD等漏洞中心,可以使用自动化工具来完成此功能; 4,仅从官网渠道获取组件并且在有条件的情况下尽可能采用单一包来避免被恶意篡改的风...
OWASP top10(OWASP十大应用安全风险)之A9 使用具有已知漏洞组件 (Using Components with Known Vulnerabilities)
qq_39682037的博客
03-19 2982
TOP9 使用具有已知漏洞组件 (Using Components with Known Vulnerabilities) 简单的网站(例如个人博客)对其具有很大的依赖性。毫无疑问,如果不更新网站后端和前端上的每个软件,无疑会给人们带来沉重的安全风险,而不是迟早会带来风险。虽然这可能有点讽刺,但是每次您忽略更新警告时,您可能都允许一个已知漏洞在您的系统中幸存。相信我,网络犯罪分子会迅速调查软件...
常见应用安全漏洞
金溪的博客
07-14 2498
1.注入 注入攻击漏洞,例如SQL、OS、LDAP注入。这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候,攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未授权的查询。 2.失效的身份认证和会话管理 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、秘钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份。 3.XSS跨站脚...
包含已知漏洞的开源代码被广泛使用
weixin_34162401的博客
07-04 178
企业在大量使用开源代码,但在使用开源代码时他们很少对其进行安全检查,一个不可避免的结果是他们的软件项目使用的开源组件包含了已知漏洞。提供源码托管服务的 Sonatype 公司估计,80% 到90%的企业代码实际上是由开源组件构成,是从公开代码库直接导入。 Sonatype分析了3000家机构的超过2.5万企业应用,发现一家企业每年下 载了5000个不同...
软件安全测试的几个原则
03-23
本文从软件安全测试需要考虑的问题,来探讨软件安全测试原则,通过遵循这些原  摘要:软件安全性是一个广泛而复杂的主题,要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。本文从软件安全测试需要考虑的...
安全测试工具IBM Rational AppScan的使用教程
热门推荐
小太阳~
02-16 2万+
AppScan是IBM公司开发的一款安全扫描软件,本篇博文来简单介绍如何使用这个工具来创建一个测试项目。一、打开AppScan软件,点击工具栏上的 文件–> 新建,出现一个dialog,如图所示: 二、点击 “Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描“,如图: 三、点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。 四、点击”下
安全测试之未验证的重定向(redirectUrl)和转发
小太阳~
02-01 2万+
首先说一下我个人理解的重定向和转发的表象区别: redirect是服务端根据逻辑,发送一个状态码,告诉浏览器重新去请求那个地址.所以地址栏显示的是新的URL。(重定向是在客户端完成的) 转发是服务器请求资源,服务器直接访问目标地址的URL,把那个URL的响应内容读取过来,然后把这些内容再发给浏览器.浏览器根本不知道服务器发送的内容从哪里来的,因为这个跳转过程实在服务器实现的,并不是在客户端实现的所以
安全测试之SQL注入攻击
小太阳~
01-26 1万+
一、SQL注入攻击的概念 首先说一下,攻击者之所以可以利用自己输入的数据来达到攻击网站的目的,原因就在于SQL语言作为一种解释型语言,它的数据其实是由程序员编写的代码和用户提交的数据共同组成的。正是因为这个原因,攻击者可以构造对自己有利的数据,利用网站的一些SQL漏洞来达到恶意的目的。 SQL注入,就是指攻击者将恶意的字符串或者语句等信息作为参数输入,服务器在验证这个字段的时候,读取攻击者输入的
安全测试之XPath注入攻击
小太阳~
01-26 1万+
一、XPath注入攻击的概念Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关
IBM Rational AppScan保存报告时提示错误的解决方案
小太阳~
02-16 1万+
前提: 在使用AppScan扫描安全问题后,想要将报告保存,报告总共100多页,环境是win7,AppScan的版本是8.0。出现的问题: 在点击保存报告的时候,并没有任何错误信息,但是在执行的过程中,会提示“由于出现意外错误,无法创建报告”之类的错误,然后报告无法保存成功。解决方案: 保存为PDF格式的时候,当报告页面比较多的时候,就会出现这个错误,只需要将格式保存为html即可保存成功。
安全测试之XSS跨站脚本攻击
小太阳~
01-28 1万+
一、跨站脚本攻击的概念跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。举个比较常见的网络上的一个例子,某个论坛或者页面上有个广告,网址是zhengpin.taobao.com,你点击进去,你看是购物网站,又是淘宝的,你就进去购买了
metasploitable 已知漏洞
06-01
Metasploitable是一个专门用于测试Metasploit框架的漏洞靶场,其中包含了一些已知漏洞和弱点。以下是Metasploitable中的一些已知漏洞: 1. Apache Tomcat默认密码漏洞:Metasploitable中的Apache Tomcat默认密码为"tomcat",攻击者可以使用该密码访问Tomcat管理界面,进而获取敏感信息或进行其他攻击。 2. OpenSSH弱密码漏洞:Metasploitable中的OpenSSH存在弱密码漏洞,攻击者可以使用字典攻击等方法破解SSH登录密码,从而获取系统权限。 3. Samba远程代码执行漏洞:Metasploitable中的Samba存在远程代码执行漏洞,攻击者可以通过该漏洞执行任意命令,获取系统权限。 4. VSFTPD后门漏洞:Metasploitable中的VSFTPD存在后门漏洞,攻击者可以通过该漏洞获取系统权限。 5. MySQL弱密码漏洞:Metasploitable中的MySQL默认密码为"root",攻击者可以使用该密码访问MySQL数据库,进而获取敏感信息或进行其他攻击。 需要注意的是,这些漏洞并非Metasploitable的全部漏洞,Metasploitable的目的是提供一个便于测试Metasploit框架的环境,并不代表真实环境的全部漏洞。在进行漏洞测试时,需要根据实际情况进行分析和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值