web漏洞初认识(上)

最新推荐文章于 2023-10-26 16:27:18 发布
最新推荐文章于 2023-10-26 16:27:18 发布
阅读量303 收藏
点赞数
分类专栏: web漏洞学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42585159/article/details/111885320
版权

WEB漏洞初认识 上

学习内容纯属个人见解,若有错误,请君斧正,谢谢😗

什么是OWASP TOP 10

owasp :open web application security project 官网传送门
一个开放的web应用安全的论坛或者组织,具有较强的公信力。

owasp top 10该组织给Web 应用程序安全漏洞进行归类,总结,得出每年度web层面最严重的安全漏洞类型前10名

2020 owasp top 10

  • 注入
  • 失效身份验证和会话管理
  • 敏感信息泄露
  • XML外部实体注入攻击(XXE)
  • 失效访问控制
  • 安全性错误配置
  • 跨站脚本攻击(XSS)
  • 不安全的反序列化
  • 使用具有已知漏洞的组件
  • 日志记录和监控不足

NO.1 注入

1.1 什么是注入

注入:攻击者向应用程序提交,通过构造恶意的sql语句,最终改变开发者定义的sql查询语句的语法和功能

因为注入类型多且杂,无法在本文中详述。

SQL注入的主要原因是程序没有严格过滤用户输入的数据,导致非法数据侵入系统.

1.2 防范措施
  • 严格过滤用户输入字符,例如’、’’、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union等。
  • 设置数据库权限的严格划分,该数据库下的应用不能调用其余数据库。
  • web应用连接数据库的用户,不应具有web目录下的权限
  • 采用参数化查询1,避免未经过滤的语言直接拼接到sql语句中

NO.2 失效身份验证和会话管理

2.1 什么是身份验证和会话

失效的身份验证大致分三类:

  • 在身份验证处,没有身份认证,安全性较差的身份认证,身份认证可以被绕过,弱密码,均可能暴力破解。
  • 在身份信息传输中,没有加密或者采用弱加密,导致身份信息泄露,被进一步利用。
  • 在身份恢复处,存在逻辑问题,可能导致可以修改任意用户身份信息。

会话管理:

  • 公开会话id或者会话id生成机制过于简单,导致猜出机制或者直接得到id,获得对应权限。
  • 会话凭证存在用户退出未被销毁或者会话超时时间过长,导致用户权限被获取。
  • 用户权限发生变更时,会话凭证,并没有更新,导致会话信息重用风险。
2.2 防范措施
  • 采用强加密和安全的验证机制和找回机制,甚至采取双因子认证。
  • 进行弱口令的基线检查,限制登录失败次数,必要时,封禁IP,防止暴力爆破。
  • 对于会话凭证应及时销毁,不要将明文会话id暴露数据包中。生成的新的会话id建议采用随机数和时间戳结合加密,以保证无法猜测出来。

NO.3 敏感信息泄露

3.1 什么是敏感信息

敏感信息:通常是指:框架,中间件,语言,系统等版本信息,登录信息(用户名,账号,密码,cookie,私钥等),源代码残留(.git,.svg等),敏感页面残留(测试页面,后台或者高权限用户登录页面等),个人敏感信息(身份证号,交易凭证,银行卡号,电话号码等)

危害:存在该漏洞均可能会被不同程度的利用。

3.2 防范措施
  • 删除不必要的文件和页面
  • 保证密码密钥的存储可靠
  • 减少或者不回显敏感版本信息
  • 敏感信息加密传输

NO.4 XML外部实体注入攻击(XXE)

4.1 什么是XML

XML (extensible makeup language):可扩展标记语言,主要用来进行数据传输和存储。
XML文档是由XML声明,DTD,XML文档元素三部分组成
当然在XML中还需要介绍一下实体
实体分为:

  • 外部一般实体
  • 外部参数实体
  • 内部一般实体
  • 内部参数实体
    合计:四种实体类型
    具体实例详见XXE漏洞学习
4.2 什么是XXE

XXE 是指:XML外部实体注入 主要作用于外部实体
XXE利用:

  • 文件读取
  • 命令执行
  • SSRF
  • 内网端口嗅探
  • 目录遍历
4.3 防御措施
  • 禁用外部实体
  • 编译或者禁用特殊参数 like:ENTITY SYSTEM等

NO.5 失效访问控制

5.1 什么是失效访问控制

未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等2

5.2 漏洞场景

  • 水平越权 :
    用户能够访问到相同权限下的其余用户才能访问的信息。

  • 垂直越权:
    低权限用户能够使用或者使用或者访问到高权限用户的接口或信息。

  • 未授权访问:
    任意用户均可不经授权使用敏感功能或者信息

5.3 防范措施

  • 在功能调用时,验证用户是否具备相对应的权限。

  • 对用户的输入,及其可控参数进行检查和对恶意输入进行过滤。

PS:接下来开始以上漏洞的实验
介于当前个人问题,暂时学习web漏洞,谢谢

  1. 参数化查询,利用PreparedStatement对象的set方法给参数赋值。参数化查询强制要求给每个参数定义类型,这种方式使得数据库能够区分出哪些属于代码段哪些属于数据段。 ↩︎

  2. 引用于https://www.cnblogs.com/pengdai/p/12169534.html#_label1 ↩︎

果子果冻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
web中间件常见漏洞总结.pdf
12-14
5. **目录遍历**:此漏洞允许攻击者访问服务器上本应受保护的目录和文件,包括源代码、配置文件等,可能导致敏感信息泄露。 6. **不安全的身份验证和会话管理**:若Web中间件的身份验证机制有误,如弱密码策略、...
web安全常见漏洞浅析
01-08
Web 安全常见漏洞浅析 本资源摘要信息将对 web 安全常见漏洞进行浅析,涵盖 Web 业务与应用逻辑缺陷。 一、Web 业务逻辑缺陷 Web 业务逻辑是指 Web 应用程序中与业务相关的逻辑,例如注册、登录、忘记密码、支付...
Web应用程序中的常见安全漏洞
一口Linux的专栏
04-30 2051
在讨论如何在应用程序中应用安全性之前,您应该首先了解如何保护应用程序。为了进行恶意操作,攻击者会识别并利用应用程序的漏洞。我们经常将漏洞描述为一种弱点,它可以允许执行不需要的操作,通常带有恶意意图。 了解漏洞的一个很好的起点就是了解开放Web应用程序安全项目,也称为 OWASP(https://www.owasp.org)。 在 OWASP上,您将找到应该在应用程序中避免的最常见漏洞的描述。 在进入下一章之前,让我们花几分钟时间进行理论上的讨论,然后从下一章开始应用 Spring Security 的概念
会话重放漏洞
夜行者的博客
02-18 3466
攻击者可以拦截并重复发送一个有效的数据包到服务端,服务器端未对用户提交的数据包重放进行有效限制。如:可以抓取HTTP包固定账号破解密码、固定密码破解账号和重放提交投票数据包等。 检测点:用户登录、系统审核、新建用户等关键操作 检测方法:以系统登录为例: 1)使用抓包工具抓取系统登录请求,获得用户和密码参数。 2)使用用户或密码字典替代登录请求会话中对应的用户或密码参数。 3)开始尝试暴力破解。 4)若网站登录请求可以无限尝试登录,则存在漏洞 解决方案: 1.添加nonce验证、时间戳或者图片
关键会话重放攻击漏洞
seanyang_的博客
10-26 467
重放攻击又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。举一个登陆的例子:对于正常的网页登陆,流程应为 A向B提交表单,其中包含账号,密码等敏感信息,在WEB端会进行md5加密,然后将加密后的结果发送到B,B在后台进行核对,如果解密后的数据与后台一致,则登陆成功。(登录怎么不能回放成功了)如果此时C截获A发送的URL,将加密后的URL直接发送到B,那么B后台也可以验证通过,这时C就可以用A的身份登陆B网站。
会话管理疏忽引发的安全漏洞
tumi
07-19 1276
会话管理疏忽引发的安全漏洞: 1、会话劫持(是指攻击者通过某种手段拿到了用户的会话ID,并非法使用此会话ID伪装成用户,达到攻击的目的) 2、会话固定攻击(属于被动攻击) 3、跨站点请求伪造(是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击)...
一文了解会话固定漏洞
闵行小鱼塘
05-21 1795
学习下会话固定漏洞
漏洞会话固定攻击(session fixation attack)
Java技术栈,分享最主流的Java技术
02-28 4100
什么是会话固定攻击? 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 看下面Session Fixation攻击的一个简单例子: 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返...
Python脚本实现Web漏洞扫描工具
09-21
是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞。下文给大家介绍了使用说明和源代码,一起看看吧
Web中间件常见漏洞总结.pdf
06-14
Web中间件常见漏洞总结
使用Python脚本实现Web漏洞扫描
最新发布
07-19
这篇文章详细介绍了如何使用Python脚本实现Web漏洞扫描。文章分为五个关键步骤:安装所需库、发送HTTP请求、解析HTML内容、发现常见漏洞以及生成报告与修复建议。每一步都配有清晰的说明、代码示例和安全提示。通过`...
渗透测试专家必备工具OWASP
wzj的博客
05-31 5253
OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。它应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大的。 OWASP扫描漏洞范围: 1—注入 2—失效的身份认证会话管理 3—跨站脚本、XSS 4—不安全的直接对象引用 5—安全配置错误 6—敏感信息泄漏 7—功能级访问控制缺失
会话管理漏洞检测
m0_51426816的博客
02-25 610
会话管理漏洞主要是由于Web应用程序的会话管理缺陷、Cookie属性设置不当等原因造成的,通常采用动态检测技术 流程: (1)Cookie获取:检测主机采用GET或POST请求向被测网站发出HTTP请求包,被测网站做出响应,返回包含Cookie信息的HTTP应答包,建立一个会话 (2)Cookie分析:对被测网站返回的Cookie信息进行分析,确定是否存在相应的漏洞,给出检测结果 1.Cookie属性漏洞检测 检查返回的Cookie属性是否存在设置漏洞 (1)Secure属性:是否使用安全方式传送含有敏感
十二个常见的Web安全漏洞总结及防范措施
热门推荐
chenlijian的博客
03-22 1万+
PCI DSS数据安全测评旨在促进并增强持卡人账户数据安全,为保护帐户数据的技术和操作要求提供了一个基准,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 适用于参与支付卡处理的所有实体——包括商户、处理商、收单机构、发卡机构和服务提供商。PCI DSS 还适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感验证数据 (SAD) 的所有其他实体。
PHP写登录安全之-会话固定和会话重用即session和cookie的使用
u013952845的博客
03-06 711
最近在给政府单位做网站后台编辑模块,被检测出会话固定和会话重用安全问题,解决如下: 解决思路: 首先在做登录是,必须要了解的是客户端的cookie和服务端的session,登录后,不仅要保存服务端的session,还要保存浏览器即客户端的cookie,检测登录时,必须session和cookie的相同key的value值相同,才可验证是否登录。 通过刚才的思路,我们有如下操作: 1、登录界...
漏洞解决方案-固定会话攻击
smart的博客
09-16 2931
漏洞解决方案-固定会话攻击漏洞概述攻击步骤防御方法代码参考 漏洞概述        会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 攻击步骤
安全测试 一次会话安全测试漏洞实例总结
weixin_30505485的博客
04-22 239
一次会话安全测试漏洞实例总结 By:授客 QQ:1033553122 场景描述 通过手机号找回密码,如下,输入手机号,验证手机号,输入新密码,提交 漏洞描述 步骤1.按场景所述,打开找回密码页,输入账户(假设账户1)的手机号,验证手机号,然后进入重置密码页面,但是不提交 步骤2.浏览器新开一个标签,打开找回密码页,输入另一个账户(假设账...
会话认证漏洞
chaojixiaojingang
08-13 1473
会话认证漏洞算是比较好学好理解的漏洞啦,端午节什么都没学,只是玩啦,所以今赶紧把缺的东西学学补上,然后分享一下。 会话认证漏洞 会话认证是个非常大的话题,涉及各种协议和框架,如cookie、session、sso、oauth、openid等。cookie是Web服务器返回给客户端的一段常用来标识用户身份或者认证情况的字符串,保存在客户端,浏览器请求时会自动带上这个标识;session是保存在服务...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值