我們SINE安全在進行Web滲透測試中網(wǎng)站漏洞利用率最高的前五個漏洞。常見漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、跨站點腳本(XSS)漏洞、SSRF漏洞、XML外部實體(XXE)漏洞、反序列化漏洞、解析漏洞等。,因為這些安全漏洞可能被黑客利用,從而影響業(yè)務。以下每一條路線都是一種安全風險。黑客可以通過一系列的攻擊手段發(fā)現(xiàn)目標的安全弱點。如果安全漏洞被成功利用,目標將被黑客控制,威脅目標資產(chǎn)或正常功能的使用,最終導致業(yè)務受到影響。
常見的WebTOP5漏洞描述如下。
1.注入漏洞。由于其普遍性和嚴重性,注入漏洞在WebTOP10漏洞中始終排在第一位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過任何輸入點輸入構建的惡意代碼。如果應用程序沒有嚴格過濾用戶的輸入,一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器,就可能導致注入漏洞。以SQL注入為例,是因為攻擊者通過瀏覽器或其他客戶端向網(wǎng)站參數(shù)中插入惡意SQL語句,而網(wǎng)站應用程序直接將惡意SQL語句帶入數(shù)據(jù)庫并執(zhí)行而不進行過濾,最終導致通過數(shù)據(jù)庫獲取敏感信息或其他惡意操作。
2.跨站腳本(XSS)漏洞。XSS漏洞的全稱是跨站點腳本漏洞。為了不與級聯(lián)樣式表(CSS)的縮寫混淆,跨站點腳本漏洞縮寫為XSS。XSS漏洞是網(wǎng)絡應用程序中常見的安全漏洞,它允許用戶將惡意代碼植入網(wǎng)頁。當其他用戶訪問此頁面時,植入的惡意腳本將在其他用戶的客戶端執(zhí)行。XSS泄漏的危害很多,客戶端用戶的信息可以通過XSS漏洞獲取,比如用戶登錄的Cookie信息;信息可以通過XSS蝸牛傳播:木馬可以植入客戶端;您可以結合其他漏洞攻擊服務器,并在服務器中植入特洛伊木馬。具有上傳功能的應用程序存在文件上傳漏洞。如果應用程序在用戶上傳的文件中沒有控制或缺陷,攻擊者可以利用應用程序上傳功能中的缺陷將木馬、病毒等有害文件上傳到服務器,然后控制服務器。實戰(zhàn)中最常見的就是XSS跨站攻擊,如果想要對網(wǎng)站進行漏洞檢測的話還得靠人工去審計和滲透測試,建議向網(wǎng)站安全公司尋求安全服務,國內做的比較好的如SINESAFE,鷹盾安全,綠盟,啟明星辰等等。
3.文件上傳漏洞。造成文件上傳漏洞的主要原因是應用程序中有上傳功能,但上傳的文件沒有通過嚴格的合法性檢查或者檢查功能有缺陷,導致木馬文件上傳到服務器。文件上傳漏洞危害極大,因為惡意代碼可以直接上傳到服務器,可能造成服務器網(wǎng)頁修改、網(wǎng)站暫停、服務器遠程控制、后門安裝等嚴重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。
4.文件包含漏洞。文件包含函數(shù)中包含的文件參數(shù)沒有過濾或嚴格定義,參數(shù)可以由用戶控制,可能包含意外文件。如果文件中存在惡意代碼,無論文件是什么后綴類型,文件中的惡意代碼都會被解析執(zhí)行,導致文件包含漏洞。文件中包含的漏洞可能會造成網(wǎng)頁修改、網(wǎng)站暫停、服務器遠程控制、后門安裝等危害。
5.命令執(zhí)行的漏洞。應用程序的某些函數(shù)需要調用可以執(zhí)行系統(tǒng)命令的函數(shù)。如果這些功能或者功能的參數(shù)可以被用戶控制,那么惡意的命令就有可能通過命令連接器拼接成正常的功能,從而可以隨意執(zhí)行系統(tǒng)命令。這就是命令執(zhí)行漏洞,這是高風險漏洞之一。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!