你不知道这10个Web安全漏洞，就别说自己是黑客

例子

1. 应用程序服务器管理控制台将自动安装，不会被删除。默认帐户不会更改。攻击者可以使用默认密码登录，并可以获得未经授权的访问。
2. 您的服务器上未禁用目录列表。攻击者发现并可以简单地列出目录以查找任何文件。

建议

• 强大的应用程序架构，可在组件之间提供良好的分离和安全性。
• 更改默认用户名和密码。
• 禁用目录列表并实施访问控制检查。

不安全的加密存储

描述

不安全的加密存储是一种常见的漏洞，在敏感数据未安全存储时存在。

用户凭据，配置文件信息，健康详细信息，信用卡信息等属于网站上的敏感数据信息。

该数据将存储在应用程序数据库中。如果不使用加密或散列*来不正确地存储此数据，则它将容易受到攻击者的攻击。

（* Hashing是将字符串字符转换为固定长度或密钥的较短字符串。要解密字符串，用于形成密钥的算法应该可用）

意义

• 通过使用此漏洞，攻击者可以窃取，修改此类受弱保护的数据，以进行身份盗用，信用卡欺诈或其他犯罪。

易受攻击的对象

• 应用数据库。

例子

在其中一个银行应用程序中，密码数据库使用未加保留的哈希*来存储每个人的密码。SQL注入漏洞允许攻击者检索密码文件。所有未加盐的哈希都可以在任何时候强行进行，而盐渍的密码则需要数千年的时间。

（*无盐哈希 - 盐是附加到原始数据的随机数据。在哈希之前将盐附加到密码）

建议

• 确保适当的强标准算法。不要创建自己的加密算法。仅使用经过批准的公共算法，如AES，RSA公钥加密和SHA-256等。
• 确保异地备份已加密，但密钥是单独管理和备份的。

无法限制URL访问

描述

Web应用程序在呈现受保护的链接和按钮之前检查URL访问权限 每次访问这些页面时，应用程序都需要执行类似的访问控制检查。

在大多数应用程序中，特权页面，位置和资源不会呈现给特权用户。

通过智能猜测，攻击者可以访问权限页面。攻击者可以访问敏感页面，调用函数和查看机密信息。

意义

• 利用此漏洞攻击者可以访问未经授权的URL，而无需登录应用程序并利用此漏洞。攻击者可以访问敏感页面，调用函数和查看机密信息。

易受攻击的对象：

• 网址

例子

1. 攻击者注意到URL表示角色为“/ user / getaccounts”。他修改为“/ admin / getaccounts”。
2. 攻击者可以将角色附加到URL。

http://www.vulnerablsite.com可以修改为http://www.vulnerablesite.com/admin

建议

1. 实施强大的访问控制检查。
2. 身份验证和授权策略应基于角色。
3. 限制对不需要的URL的访问。

传输层保护不足

描述

处理用户（客户端）和服务器（应用程序）之间的信息交换。应用程序经常通过网络传输敏感信息，如身份验证详细信息，信用卡信息和会话令牌。

通过使用弱算法或使用过期或无效的证书或不使用SSL，可以允许将通信暴露给不受信任的用户，这可能会危及Web应用程序和/或窃取敏感信息。

意义

• 利用此Web安全漏洞，攻击者可以嗅探合法用户的凭据并获取对该应用程序的访问权限。
• 可以窃取信用卡信息。

易受攻击的对象

• 通过网络发送的数据。

建议

1. 启用安全HTTP并仅通过HTTPS强制执行凭据传输。
2. 确保您的证书有效且未过期。

例子：

1.不使用SSL的应用程序，攻击者只会监视网络流量并观察经过身份验证的受害者会话cookie。攻击者可以窃取该cookie并执行Man-in-the-Middle攻击。

未经验证的重定向和转发

描述

Web应用程序使用很少的方法将用户重定向并转发到其他页面以实现预期目的。

如果在重定向到其他页面时没有正确的验证，攻击者可以利用此功能，并可以将受害者重定向到网络钓鱼或恶意软件站点，或者使用转发来访问未经授权的页面。

意义

• 攻击者可以向用户发送包含附加编码恶意URL的真实URL的URL。用户只需看到攻击者发送的URL的真实部分就可以浏览它并可能成为受害者。

例子

1. http://www.vulnerablesite.com/login.aspx?redirectURL=ownsite.com

修改为

http://www.vulnerablesite.com/login.aspx?redirectURL=evilsite.com

建议

只需避免在应用程序中使用重定向和转发。如果使用，请不要在计算目的地时使用用户参数。

如果无法避免目标参数，请确保提供的值有效，并为用户授权。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!