乌云漏洞库与OWASP TOP 10

我最近在看乌云漏洞库：
可以看到别人的发现安全漏洞的姿势，很长知识。

我觉得乌云的这个模式比较牛，它像一个放大镜。同时它是一个平台，同时它还是一个链接。从它公开了的八万多个漏洞来看，姿势很多。乌云上汇聚了一批人，充满攻击性，创造性，至少曾经如此，而它埋下的种子总有一天会发芽，必会成为一颗参天大树。

当然，时代在进步，随着WAF的普及，常规漏洞是越来越难挖了，有没有WAF是一个重要的考量，所以WAF的识别和WAF绕过成了一个新的课题。

在web时代，是大开放的时代，也是搜索引擎的黄金时代，但是随着app的崛起，我们进入了数据岛的时代，搜索引擎式微式必然的，同样想利用搜索引擎获取漏洞页面是越来越难了，我只能说一个时代过去了。

下面的漏洞类别，可能来自乌云也可能来自owasp

乌云里面的常用工具：
sqlmap
brupsuite

乌云漏洞分类

看乌云，看思路，看工具，看姿势。

设计缺陷/逻辑错误

例如横向越权，可遍历之类的错误。

弱口令

弱口令不是天灾，是人祸。

重要敏感信息泄漏

很多人都低估了敏感信息泄漏带来的影响。我一定要重视这种姿势，可以多参考爱上平顶山这个大兄弟。那些曾经的辉煌的id，像流星，又像恒星，闪耀着，照耀着。
你还记得 有一波账号密码泄漏的浪潮吗？如果一个网站的泄漏了，那么其他网站如果使用了相同的密码，那么就很危险。

系统/服务运维配置不当

有些类型的漏洞看起很弱鸡，但是你想想，怎么在茫茫的信息流中找到它才是关键问题。

文件上传导致任意代码执行

这种漏洞我还没挖到过

社工

这个就不写了

owasp top 10

A1 注入

sql注入
nosql注入
os注入等

A2 失效的身份认证

A3 敏感数据泄漏

账号密码是不是敏感信息？
手机号，银行卡，身份证号等等是不是敏感信息？
还有不对敏感信息加密，或者加密方法不正确。很早之前某网站竟然把用户的密码明文存储，这也太可怕了。

敏感信息泄漏就是永远的神：大部分人都有把账号密码保存在文档中的习惯，而这就是机会。投入少，但是产出大，你不得不相信，人的安全意识薄弱永远是最大的漏洞。尤其是涉及的公司的账号更是如此，大部分人都会觉得公司的账号不重要，因为那不是自己的。你不会把银行密码记录在网络笔记本中，但是你有可能会把公司账号密码记录在网络笔记本中。

但是这招不好，属于对自身没有太大提升的招式，为了混口饭吃可以用这招，但是如果想成长，这招还是少用为好。

A4 xml外部实体

这个我也不太清楚

A5 失效的访问控制

那么什么是身份认证？什么是访问控制？

如果一个未经身份验证的用户可以访问任何页面，那么这是一个
缺陷。
如果一个非管理员权限的用户可以访问管理页面，那么这
同样也是一个缺陷。

A6 安全配置错误

就是配错了呗，很容易理解。

A7 跨站脚本（xss)

但是随着WAF的普及，xss越来越难了。
随着react, vue等前端框架的成熟，xss更难了。
不过，作为我第一个掌握的漏洞类型还是有纪念意义。

A8 不安全的反序列化

这块我很薄弱

A9 使用含有已知漏洞的组件

这几天沸沸扬扬的log4j2漏洞，给我提了个醒，在log4j2漏洞公开之前，可以理解，但是如果在公开之后，还使用不安全的log4j2，那么就是没有安全意识，同时也是不负责任。

A10 不足的日志记录和监控

有日志才有回溯的资本，有监控才能及时发现异常，并进行响应。

多数成功的攻击往往从漏洞探测开始。允许这种探测会将攻击成功的可能性提高到近100%。