注入
攻击者构造恶意数据并提交到服务器,从而导致服务器执行没有被授权的命令。会导致数据丢失,信息被破坏或者泄露敏感信息等,还可能获取服务器管理权限。
失效的身份认证
由于访问网站的用户身份不同,未经验证的恶意用户可能会冒充授权用户甚至管理员。主要由于应用程序中实现身份验证和会话管理的部分存在错误,从而导致攻击者获取密码,密钥或者会话令牌
敏感数据泄露
站点中的敏感信息,如财务,医疗数据等,但系统API无法对web应用程序进行正确的保护,使得攻击者可通关篡改敏感数据,或直接使用加密的数据进行诈骗等不法行为。
xml 外部实体(xxe)
许多较早的或配置错误的xml处理器评估了xml文件中外部实体引用,关键字system会使xml解析器从uri中读取内容,并允许它在xml文档中被替换。攻击者可通过实体将自定义的值发送给应用程序,即可构造恶意内容,造成任意文件读取,系统命令执行等危害。
失效的访问控制
服务器管理员没有对通过身份验证的用户实施合适的访问控制限制。攻击者可通过修改参数,绕过系统限制直接登录他人账户。
安全配置错误
不安全的默认配置,不完整的临时配置,开源云存储,错误的http标头配置以及包含敏感信息的详细错误信息所造成,攻击者可通过未修复的漏洞,访问默认账户,不再使用的页面,未受保护的文件和目录等来获取对系统未授权的访问或了解。
跨站脚本攻击
未对用户输入的html代码进行过滤,导致输入的代码可执行。
不安全的反序列化
反序列化是序列化的逆过程,由字节流生成对象。攻击者可通过此风险改变应用逻辑实现远程代码攻击,即使不会导致远程代码攻击,攻击者依然可利用此风险进行注入和权限提升等攻击。
使用含有已知漏洞的组件
不完善的日志记录和监控机制
如果系统的日志记录和监控机制不够完善,攻击者往往会在不被察觉的情况下完成他们的目标。