⽤⾃⼰的理解说明如下漏洞的危害
跨站脚本测试(XSS)
客户端代码注入攻击,等待受害者访问被注入恶意代码页面
反射型:xss代码出现在url中
存储型:代码写入数据库中
DOM型:在浏览器本地修改DOM树,不上传服务器,难检测
危害:获取用户cookie,弹窗广告,劫持用户会话盗取用户操作
防御:输入过滤(仅合法字符、特殊格式、指定长度范围)、黑白名单、输出HTML编码
HTTP header测试
http host header方便网站域名获取,若访问路径缺少/ ,中间件会将路径补齐
危害:恶意代码传入,容易明文传输
服务器端请求伪造(SSRF)测试
没有对URL和远端服务器返回信息做合适验证过滤
危害:端口扫描、读取本地文件、攻击内网应用,内网应用指纹识别
防御:过滤输入(限制访问协议,限制访问IP,限制请求端口)、过滤输出(同一返回错误信息)
跨站请求伪造(CSRF)测试
攻击者继承受害者身份和特权,代替受害者执行非本意的恶意的操作,没有办法获取服务器响应
POST方式、GET方式
危害:更改用户请求状态
防御:验证referer字段(前URL到),添加Token验证,二次验证,HttpOnly(禁止js脚本访问cookie信息)
负值反冲
未校验订单数据取值范围,拦截订单请求,修改订单参数
危害:订单参数可随意修改
防御:商品价格从数据库取出;服务器端对客户端提交数据进行校验;服务器端对支付订单进行校验、签名
敏感信息明⽂传输
用户密码明文传输,Session在url明文传输,后台存储没有加密
危害:流量可以被抓取
防御:启动ssl机制;加密传输给服务器;使用合适且强大的算法、密钥
是否部署HTTPS传输
http是明文传输
危害:存在被窃听风险
防御:表单提交位置用https
短信验证码暴⼒破解测试
验证码发送功能模块中验证码位数及复杂性较弱,没有对验证码使用次数做限制
观察验证码是否有规律
危害:任意修改密码
短信轰炸测试
服务器短信平台未做校验 ,抓取验证码数据包,重放攻击,手机短时间内连续收到多条短信
危害:对任意手机号轰炸
防御:短信发送超过一定次数加入验证码验证;合理配置后台短信服务器功能(发送次数,时间间隔)
邮件炸弹测试
应用系统未限制邮件发送次数
危害:对任意邮箱轰炸
防御:合理配置后台邮件服务器功能
⽬录爆破
扫出敏感文件
敏感⽂件测试
危害:浏览器指纹、cms框架泄露
敏感数据泄露
危害:Cookie、Session泄露
系统管理后台测试
中间件管理控制台测试
危害:破坏性攻击、敏感信息泄露、危害访问控制、恶意软件安装
⽬录遍历
原因:文件包含,文件读取,RCE。网站配置缺陷,对用户输入文件缺少验证
危害:dirb扫描遍历,攻击者可以访问配置文件、日志等敏感信息
防御:过滤,对用户提交文件名进行编码
SQL注⼊
没有将代码与数据分离导致用户数据作为代码执行
联合查询,报错注入,布尔盲注,延时注入,堆叠查询
危害:数据库信息泄露
防御:过滤,,部署waf安全设备,编译
命令注⼊
引用外部程序时调用一些危险函数(eval、system、exec_shell)
⽂件上传
没有对上传文件做足够限制
危害:直接上传执行后门文件;通过恶意文件+其他漏洞拿到管理员权限
防御:文件后缀名、类型、内容检测,加入黑白名单
⽂件下载
读取文件路径客户端可控,没有校验文件路径
读取函数:readfile(),file_get_contents(),fread()
危害:下载服务器任意文件
防御:路径过滤../(双写绕过、绝对路径、使用..\\),限制文件访问权限
⽂件包含
PHP文件包含语句:include();include_once();require();require_once()
客户端可以控制被包含文件路径
危害:无视文件扩展名读取文件内容,无条件解析PHP代码
防御:少用动态包含;过滤被包含文件路径;allow_url_include=off;open_basedir限定文件访问范围
弱⼝令检查
使用纯数字、纯字母、有规律的密码,密码爆破
账⼾枚举测试暴⼒破解测试
业务逻辑漏洞,输入不存在用户名提示用户名不存在。。。
空⼝令测试
危害:不需要密码登录
认证绕过测试
修改数据包,绕过系统认证达到认证效果
危害:造成非法登录,非法访问、信息泄露
密码修改
没有验证身份手段
未授权访问测试
没有做访问控制权限
Redis未授权访问:Redis数据库与文件系统交互,未设置密码客户端工具可以直接连接
危害:直接写webshell,计划任务反弹shell,ssh免密登录
Redis未授权访问
Redis数据库与文件系统交互,未设置密码
Apache Shiro反序列化测试
用户信息加密序列化后存储在remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie
危害:
防御:升级组件到最新版本,黑白名单过滤敏感字符,部署安全设备
FastJson反序列化远程命令执⾏漏洞
反序列化过程中字符串被修改
编辑器漏洞
编辑器允许安装插件和扩展,如果安装的是恶意的插件会造成漏洞
危害:敏感信息泄露,代码执行
致远OA任意⽂件上传漏洞
接口存在任意文件上传漏洞
危害:发送特定的请求包上传恶意文件,获取服务器权限
Coremail配置信息泄露
Coremail mailsms接口配置存在未授权访问漏洞
危害:敏感信息泄露
通⽤cms泄露
cms的版本,找出对应版本的历史漏洞,使用这些当前版本没有防御的漏洞进行攻击。
FTP匿名登陆
ftp用户开启匿名登录系统,允许任何用户登录FTP访问其中的文件
危害:敏感信息泄露,未授权访问,,getshell
哈希传递
域内,相同密码