常见web安全漏洞和解决思路

一、常见安全漏洞

服务器类安全漏洞:     

        服务器含服务器软件类型较多,此次不再一一列举;

WEB访问类安全漏洞:     

        XSS漏洞检测 (key: xss)     

        SQL 注入检测 (key: sqldet)     

        命令/代码注入检测 (key: cmd-injection)     

        目录枚举 (key: dirscan)     

        路径穿越检测 (key: path-traversal)     

        XML 实体注入检测 (key: xxe)     

        文件上传检测 (key: upload)     

        弱口令检测 (key: brute-force)     

        jsonp 检测 (key: jsonp)     

        ssrf 检测 (key: ssrf)     

        基线检查 (key: baseline)     

        任意跳转检测 (key: redirect)     

        CRLF 注入 (key: crlf-injection)

二、常用工具

国内:

绿盟(WVSS): https://www.nsfocus.com.cn/html/2019/206_0911/8.html

安恒(明鉴): https://www.dbappsecurity.com.cn/show-63-38-1.html

知道创宇(websoc): https://scanv.yunaq.com/websoc/index.html

启明星辰(天镜): https://www.venustech.com.cn/article/type/1/253.html

奇安信(网神SecVSS 3600): https://www.qianxin.com/product/detail/pid/1

天融信: http://www.topsec.com.cn/product/63.html

长亭: https://www.chaitin.cn/zh/xray

国外:

AWVS: http://wvs.evsino.com/

Nessus: https://www.tenable.com/downloads/nessus

Appscan: https://ibm-security-appscan-standard.software.informer.com/8.7/

Netsparker: https://www.netsparker.com/

Webinspect: https://www.microfocus.com/

WebReaver: https://webreaver.com/

xray:扫描检测WEB访问类安全漏洞,有免费版可用,需要适当学习;

wvs:扫描检测WEB访问类安全漏洞,有破解版可用,需要自己破解和适当学习;

nessus:服务器类安全漏洞,有破解版可用,需要自己破解和适当学习;

三、xray使用总结

注意事项: xray会拦截经过代理的所有请求,然后模拟请求反复向服务器验证是否存在安全漏洞,对于增删改操作,会造成脏数据等问题,同时影响系统性能,所以尽可能在测试环境进行漏洞扫描,如果在生产环境扫描,须征得客户同意,选择非工作时间,做好数据库备份;

四、项目遇到的问题总结

五、过滤器(filter)解决CROS问题

  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值