1.注入
注入攻擊漏洞,例如sql、os、ldap注入。這些攻擊發生在當不可信的資料作為命令或查詢語句的一部分,被傳送給直譯器的時候,攻擊者傳送的惡意資料可以欺騙直譯器,以執行計畫外的命令或未授權的查詢。
2.失效的身份認證和會話管理
與身份認證和會話管理相關的應用程式功能往往得不到正確的實現,這就導致了攻擊者破壞密碼、秘鑰、會話令牌或攻擊其他的漏洞去冒充其他使用者的身份。
3.xss跨站指令碼
當應用程式收到含有不可信的資料,在沒有進行適當的驗證和轉義的情況下,就將它傳送給乙個網頁瀏覽器,這就會產生xss,xss允許攻擊者在瀏覽器上執行指令碼,從而劫持使用者會話、危害**、或者將使用者轉向惡意**。
4.不安全的直接物件引用
當開發人員暴露乙個內部實現物件的引用時,就會產生乙個不安全的直接物件引用,在沒有訪問控制檢測或其他保護時,攻擊者會操控這些相用去訪問未授權資料。
5.安全配置錯誤
好的安全需要對應用程式、框架、應用程式伺服器、web伺服器、資料庫伺服器和平台定義和執行安全配置。由於許設定的預設值並不是安全的,因此,必須定義、實施和維護這些設定。這包含了對所有的軟體保持及時更新,包括所有應用程式的庫檔案。
6.敏感資訊洩露
許多web應用程式沒有正確包含敏感資料,敏感資料需要額外的保護。
7.功能級訪問控制缺失
8.csrf跨站請求偽造。
9.使用包含已知漏洞的元件。
10.未驗證的重定向和**。
常見Web安全漏洞
不同許可權賬戶之間的存在越權訪問 檢測防範 1伺服器端必須對每個頁面鏈結進行許可權判斷。2使用者登陸後,伺服器端不應再以客戶端提交的使用者身份資訊為依據,而應以會話中服務端儲存的已登陸的使用者身份資訊為準。3頁面提交的資源標誌與已登陸的使用者身份進行匹配比對,然後判斷其對當前鏈結是否有許可權。4必須...
ASP常見的安全漏洞
asp的漏洞已經算很少的了,想要找到資料庫的實際位置也不簡單,但這不表明黑客無孔可入,也正是這個觀點,一般的程式設計員常常忘記仔細的檢查是否有漏洞,所以才有可能導致 資料被竊取的事件發生。今天我在這裡和大家談談asp常見的安全漏洞,以引起大家的重視及採取有效的防範措施。注意,在本文中所介紹的方法請大...
Jsonp常見安全漏洞分析
jsonp json with padding 是資料格式 json 的一種 使用模式 可以讓網頁從別的網域要資料。這個解釋來自於網際網路上面的答案。jsonp只是 一種使用json模式,之所以能夠很廣泛使用。主要用它來解決跨域訪問問題。可以方便跨網域名稱傳輸資料。一些是乙個jsonp的例子。但是,...