常见Web应用程序漏洞
- 不完善的身份验证措施 。这类漏洞包括应用程序登录机制中的各种缺陷,可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
- 不完善的访问控制措施。这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器中的敏 感信息,或者执行特权操作。
- SQL注入。攻击者可通过这一漏洞提交专门设计的输入,干扰应用 程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏其逻辑结构,或者在数据库服务器上执行命令。
- 跨站点脚本。攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作,或者向其发动其他攻击。
- 信息泄露。这一问题包括应用程序泄露敏感信息,攻击者利用这些 敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。
- 跨站点请求伪造。利用这种漏洞,攻击者可以诱使用户在无意中使用自己 的用户权限对应用程序执行操作。恶意Web站点可以利用该漏洞,通过受害用户与 应用程序进行交互,执行用户并不打算执行的操作。
核心安全问题:用户可提交任意输入
- 用户可干预客户端与服务器间传送的所有数据,包括请求参数、cookie和HTTP信 息头。可轻易避开客户端执行的任何安全控件,如输入确认验证
- 用户可按任何顺序发送请求,并可在应用程序要求之外的不同阶段不止一次提交或 根本不提交参数。用户的操作可能与开发人员对用户和应用程序交互方式做出的任 何假设完全不同
- 用户并不限于仅使用一种Web浏览器访问应用程序。大量各种各样的工具可以协助 攻击Web应用程序,这些工具既可整合在浏览器中,也可独立于浏览器运作。这些工具能够提出普通浏览器无法提交的请求,并能够迅速生成大量的请求,查找和利 用安全问题达到自己的目的。
针对用户可提交任意输入问题专门设计的输入:
- 更改以隐藏的HTML表单字段提交的产品价格,以更低廉的价格欺诈性地购买该产 品。
- 修改在HTTP cookie中传送的会话令牌,劫持另一个验证用户的会话。
- 利用应用程序处理过程中的逻辑错误删除某些正常提交的参数。
- 改变由后端数据库处理的某个输入,从而注入一个恶意数据库查询以访问敏感数据。
