WEB应用的常见安全漏洞

最新推荐文章于 2024-03-13 19:15:59 发布
最新推荐文章于 2024-03-13 19:15:59 发布
阅读量352 收藏 1
点赞数
分类专栏: 行业知识 文章标签: 安全 web 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songqinxiaoming/article/details/106186317
版权
  1. SQL 注入
    SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。

原因:
当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。
比如:id = “外部输入的值”;
SQL 语句: sql = "select * from users where id= + id;
上面的 SQL 语句目的是通过用户输入的用户名查找用户信息,因为由于 SQL 语句是直接拼接的,也没有进行过滤,所以,当用户输入 ‘’ or ‘1’=‘1’ 时,这个语句的功能就是搜索 users 全表的记录。
select * from users where id=1 or ‘1’=‘1’;

解决方案:
具体的解决方案很多,但大部分都是基于一点:不信任任何外部输入。
所以,对任何外部输入都进行过滤,然后再进行数据库的增、删、改、查。
此外,适当的权限控制、不曝露必要的安全信息和日志也有助于预防 SQL 注入漏洞。

  1. XSS 攻击
    XSS 攻击全称跨站脚本攻击(Cross-Site Scripting),简单的说就是攻击者通过在目标网站上注入恶意脚本并运行,获取用户的敏感信息如 Cookie、SessionID 等,影响网站与用户数据安全。XSS 攻击更偏向前端的范畴,但后端在保存数据的时候也需要对数据进行安全过滤。

原因:
当攻击者通过某种方式向浏览器页面注入了恶意代码,并且浏览器执行了这些代码。

比如:
在一个文章应用中(如微信文章),攻击者在文章编辑后台通过注入 script 标签及 js 代码,后端未加过滤就保存到数据库,前端渲染文章详情的时候也未加过滤,这就会让这段 js 代码执行,引起 XSS 攻击。

解决方案:
一个基本的思路是渲染前端页面(不管是客户端渲染还是服务器端渲染)或者动态插入 HTML 片段时,任何数据都不可信任,都要先做 HTML 过滤,然后再渲染。

  1. CSRF 攻击
    CSRF 攻击全称跨站请求伪造(Cross-site Request Forgery),简单的说就是攻击者盗用了你的身份,以你的名义发送恶意请求。
    原因:

一个典型的 CSRF 攻击有着如下的流程:
•受害者登录 a.com,并保留了登录凭证(Cookie)
•攻击者引诱受害者访问了 b.com
•b.com 向 a.com 发送了一个请求:a.com/act=xx(浏览器会默认携带 a.com 的 Cookie)
•a.com 接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求
•a.com 以受害者的名义执行了 act=xx
•攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让 a.com 执行了自己定义的操作
注:上面的过程摘自 前端安全系列之二:如何防止CSRF攻击?

解决方案
防止 CSRF 攻击需要在服务器端入手,基本的思路是能正确识别是否是用户发起的请求。

  1. XXE 漏洞
    XXE 漏洞全称 XML 外部实体漏洞(XML External Entity),当应用程序解析 XML 输入时,如果没有禁止外部实体的加载,导致可加载恶意外部文件和代码,就会造成任意文件读取、命令执行、内网端口扫描、攻击内网网站等攻击。
    这个只在能够接收 XML 格式参数的接口才会出现。

解决方案:
•禁用外部实体
•过滤用户提交的XML数据

  1. JSON 劫持
    JSON 劫持(JSON Hijacking)是用于获取敏感数据的一种攻击方式,属于 CSRF 攻击的范畴。
    原因:
    一些 Web 应用会把一些敏感数据以 json 的形式返回到前端,如果仅仅通过 Cookie 来判断请求是否合法,那么就可以利用类似 CSRF 的手段,向目标服务器发送请求,以获得敏感数据。

比如下面的链接在已登录的情况下会返回 json 格式的用户信息:
http://www.test.com/userinfo
攻击者可以在自己的虚假页面中,加入如下标签:

如果当前浏览器已经登录了 www.test.com,并且 Cookie 未过期,然后访问了攻击者的虚假页面,那么该页面就可以拿到 json 形式的用户敏感信息,因为 script 标签会自动解析 json 数据,生成对应的 js 对象。然后再通过:
Object.prototype.defineSetter
这个函数来触发自己的恶意代码。

但是这个函数在当前的新版本 Chrome 和 Firefox 中都已经失效了。
注:上面的过程摘自 JSON和JSONP劫持以及解决方法。

解决方案:
•X-Requested-With 标识
————————————————————————————————————————————
更多软件测试方面的知识,欢迎私信我进行交流沟通~~

松勤小猪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web应用常见安全漏洞.pdf
11-19
Web应用中的安全漏洞是开发过程中必须重视的问题,主要包括SQL注入和跨站点脚本(XSS)攻击。这两种漏洞都可能导致严重的安全威胁,如数据泄露、用户信息被窃取,甚至整个系统的瘫痪。 **SQL注入**是一种攻击手段,...
Web应用程序中的常见安全漏洞
一口Linux的专栏
04-30 2049
在讨论如何在应用程序中应用安全性之前,您应该首先了解如何保护应用程序。为了进行恶意操作,攻击者会识别并利用应用程序的漏洞。我们经常将漏洞描述为一种弱点,它可以允许执行不需要的操作,通常带有恶意意图。 了解漏洞的一个很好的起点就是了解开放Web应用程序安全项目,也称为 OWASP(https://www.owasp.org)。 在 OWASP上,您将找到应该在应用程序中避免的最常见漏洞的描述。 在进入下一章之前,让我们花几分钟时间进行理论上的讨论,然后从下一章开始应用 Spring Security 的概念
常见Web应用漏洞总结(原理、危害、防御)
anlalu233的博客
02-21 2633
一、 SQL注入 1.原理: SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。 它是利用现在已有的应用程序,将SQL语句插入到数据库中执行,执行一些并非按照设计者意图的SQL语句。 2.原因: 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入...
web 应用常见安全漏洞一览
weixin_33957648的博客
01-24 415
web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。 比如:...
web常见漏洞有哪些以及漏洞监测有什么方法?
qq_40759785的博客
01-09 940
web常见漏洞有哪些以及漏洞监测有什么方法?一、漏洞扫描是什么意思?二、web常见漏洞有哪些?三、web服务 漏洞监测有什么方法? 网络存在很多不确定的风险因素,特别是对于网站、服务器来说,时刻监测漏洞是保障其安全运行的必要手段之一。 一、漏洞扫描是什么意思? 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。 漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。 web服务 漏洞监测 二、web常见漏洞有哪些?
2024年广西职业院校技能大赛高职组“信息安全管理与评估”卷②-理论题答案
最新发布
旺仔Sec&blog
03-13 2455
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线
常见Web安全漏洞测试指南
weixin_45253622的博客
04-09 5367
任意文件下载 漏洞描述 一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。 测试指南 使用 BurpSuite、或者手工抓取所有的url,以及寻找相关敏感的功能点,比如文件查看处,文件下载处等功能点,手工发送一系列 “…/” “./” 等字符来遍历高层目录,并且尝试找到系统的配置文件(/etc/passwd,win.ini等)或者该web站点相关系统中存在的敏感文件(如:java应用中的…/…/…/WE
安全测试员必知!5大常见Web安全漏洞测试方法归纳!
cky8792的博客
09-20 1580
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一、...
web安全常见漏洞浅析
01-08
Web 业务逻辑中,存在许多安全漏洞,例如越权删除、修改、获取;支付逻辑等。 二、应用逻辑漏洞 应用逻辑漏洞是指在 Web 应用程序中,由于设计不当或实现不当引发的一些漏洞,例如验证码缺陷、越权、加密脆弱、...
web中间件常见漏洞总结.pdf
12-14
然而,由于其复杂性和广泛的使用,Web中间件也成为了攻击者的目标,存在多种可能的安全漏洞。以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意...
常见web应用漏洞和检测方案
06-06
常见web应用漏洞和检测方案 明文信息传输漏洞 敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话...
十大常见web漏洞及防范
热门推荐
姜亚轲的博客
07-29 6万+
十大常见web漏洞 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、...
十二个常见Web安全漏洞总结及防范措施
m0_59598029的博客
11-24 851
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
Web安全常见漏洞原理、危害及其修复建议
c_programj的博客
06-01 5434
web安全常见漏洞原理、危害及其修复建议一、 SQL注入漏洞原理危害修复建议二、XSS漏洞原理危害修复建议三、 CSRF漏洞原理危害修复建议四、 SSRF漏洞原理危害预防建议五、 文件上传漏洞原理危害修复建议六、 暴力破解危害修复建议七、 命令执行漏洞危害修复建议八、 文件包含漏洞原理危害修复建议九、 逻辑漏洞原理危害修复建议十、 XXE漏洞原理危害修复建议 一、 SQL注入漏洞 原理 指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作。(web应用程序
Web安全知多少
weixin_30896511的博客
08-05 1099
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
Web安全漏洞类型
lianzhouxiaowu的专栏
11-07 1283
XSSCSRF文件包含
web安全漏洞种类
weixin_30273175的博客
02-24 1300
(参考知道创宇) SQL注入: SQL注入(SQL Injection),是一个常见的发生于应用程序和数据库之间的web安全漏洞,由于在开发过程中的设计不当导致程序中忽略了检查,没有有效的过滤用户的输入,是攻击者可以向服务器提交不正常的访问数据(即恶意的的SQL命令代码),程序在接收后错误的将攻击者的输入作为代码语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者静心构造的恶意代码,...
面试官:说一下你工作中发现的最有价值的bug
songqinxiaoming的博客
06-16 8279
这个问题,基本95%的面试都会遇到。究竟面试官想要知道什么呢? 让我们回到这个面试场景来看看。 “说一下你印象最深的bug" 你的脑子里拼命的回想过去遇到的印象深刻或有价值的bug。 乍一眼看,这是一个简答到不起眼的问题。可是同学们,你一定要知道,往往越简短的新闻,越是爆炸性的。而且很多同学会把目光集中在:印象最深的上面,其实这道题目的迷惑性就在这里,所以一定要谨慎回答。 “我就是做测试的,每天那么多bug,累计下来,没有上万也有成千,猛的一问我,我还真的一下想不起来哪些是有价值的,我只记得当时和开发撕逼
Web应用安全漏洞与防护电子书
书中详细讨论了Web应用中的常见安全漏洞及其防范措施,包括注入攻击(A1: Injection)、跨站脚本攻击(A2: Cross-Site Scripting, XSS)、身份验证和会话管理缺陷(A3: Broken Authentication and Session ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值