1、authentication(驗證):用來確認某使用者、服務或是應用身份的攻擊手段
2、authorization(授權):用來決定是否某使用者、服務或是應用具有執行請求動作必要的攻擊手段
3、client-side attacks(客戶端攻擊):用來擾亂或者是探測web站點使用者的攻擊手段
4、command execution(命令執行):在web站點上執行遠端命令的攻擊手段
5、information discolsure(資訊暴露):用來獲取web站點的具體系統資訊的攻擊手段
6、logical attacks(邏輯性攻擊):用來擾亂或是探測web應用邏輯流程的攻擊手段
1、注入:將不受信任的資料作為命令或查詢的一部分傳送到解析器時,會產生注入sql注入、nosql注入、os注入、ldap注入缺陷
2、失效的身份驗證:通過錯誤使用應用程式的身份認證和會話管理功能,攻擊者能夠破譯密碼、金鑰、或會話令牌
3、敏感資訊洩露:許多web程式和api都無法保護敏感資料,攻擊者可通過竊取或修改未加密資料來實施身份盜竊等犯罪行為
4、xml外部實體(xxe):許多較早的或配置錯誤的xml處理器評估的xml檔案中的外部實體引用。攻擊者可利用外部實體竊取內部檔案、執行遠端**
5、失效的訪問控制:未對通過身份驗證的使用者實施恰當的訪問控制
6、安全配置錯誤:安全配置錯誤是最常見的安全問題,這通常是由於不安全預設配置、不完整的臨時配置、開源雲錯誤等造成
7、跨站指令碼(xss):xss讓攻擊者能夠在受害者的瀏覽器中執行指令碼,並劫持使用者會話、破壞**或將使用者重定向到惡意站點
8、不完全的反序列化:不安全的反序列化會導致遠端**執行
9、使用含有已知漏洞的元件:元件如庫、框架和其他軟體模組擁有和應用程式相同的許可權
10、不足的日誌記錄和監控:不足的日誌記錄和監控,以及事件影響缺失或無效整合,使攻擊者能夠進一步攻擊系統、保持持續性、篡改、提取或銷毀資料
威脅web應用安全的錯誤
一般絕大部分的web應用攻擊都是特定目標的大範圍漏洞掃瞄,只有少數攻擊確實是為入侵特定目標而進行的針對性嘗試。這兩種攻擊都非常頻繁,難以準確檢測出來,許多 的web應用防火牆都無法保證能夠有效執行。有一些被忽略的安全錯誤可能會威脅到web應用的安全。存在的sql注入漏洞 sql注入依然活躍著,安全監...
Web應用安全威脅與防治
本書的試讀章節讓我們知道了會話劫持的危害性,對身份驗證和會話管理做了詳細的講解。首先讓我們看看下面兩個概念 1.什麼是owasp?owasp開放式web 應用程式軟體。2.什麼是esapi?esapi owasp企業安全應用程式介面 是乙個免費 開源的 網頁應用程式安全控制項庫,它使程式設計師能夠更...
Web應用安全威脅與防治
本書的試讀章節讓我們知道了會話劫持的危害性,對身份驗證和會話管理做了詳細的講解。首先讓我們看看下面兩個概念 1.什麼是owasp?owasp開放式web 應用程式軟體。2.什麼是esapi?esapi owasp企業安全應用程式介面 是乙個免費 開源的 網頁應用程式安全控制項庫,它使程式設計師能夠更...