随笔 - 410
文章 - 0
评论 - 519
阅读 -
147万
合集-详解Web应用安全系列
详解Web应用安全系列(2)注入漏洞之XSS攻击
摘要:上一篇介绍了SQL注入漏洞,今天我们来介绍另一个注入漏洞,即XSS跨站脚本攻击。XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web应用中常见的漏洞。指攻击者在网页中嵌入客户端脚本(一般是JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到
阅读全文
详解Web应用安全系列(3)失效的身份认证
摘要:大多数身份和访问管理系统的设计和实现,普遍存在身份认证失效的问题。会话管理是身份验证和访问控制的基础,并且存在于所有有状态的应用程序中。攻击者可以使用指南手册来检测失效的身份认证,但通常会关注密码转储,字典攻击,或者在类似于钓鱼或社会工程攻击之后,发现失效的身份认证。 确认用户的身份,身份验证和会话
阅读全文
详解Web应用安全系列(4)失效的访问控制
摘要:在Web安全中,失效的访问控制(也称为权限控制失效或越权访问)是指用户在不具备相应权限的情况下访问了受限制的资源或执行了不允许的操作。这通常是由于Web应用系统未能建立合理的权限控制机制,或者权限控制机制失效所导致的。 危害 数据泄漏:攻击者可能通过越权访问获取敏感数据,如用户个人信息、财务数据、家
阅读全文
详解Web应用安全系列(5)敏感数据泄露漏洞
摘要:在最近几年,这是最常见的,最具影响力的攻击。这个领域最常见的漏洞是不对敏感数据进行加密。在数据加密过程中,常见的问题是不安全的密钥生成和管理以及使用弱密码算法,弱协议和弱密码。特别是使用弱的哈希算法来保护密码。在服务端,检测数据传输过程中的数据弱点很容易,但检测存储数据的弱点却非常困难。 敏感数据泄
阅读全文
详解Web应用安全系列(6)安全配置错误
摘要:Web攻击中的安全配置错误漏洞是一个重要的安全问题,它涉及到对应用程序、框架、应用程序服务器、Web服务器、数据库服务器等组件的安全配置不当。这类漏洞往往由于配置过程中的疏忽或错误,使得攻击者能够未经授权地访问系统数据或执行系统功能。 安全配置错误类漏洞是指在对Web应用及相关组件进行安全配置时,由
阅读全文
详解Web应用安全系列(7)使用具有已知漏洞的组件
摘要:使用具有已知漏洞的组件,这种安全漏洞普遍存在,基于组件开发的模式使得多数开发团队根本不了解其应用或API中使用的组件,更谈不上及时更新这些组件了。 下面就分别以.NET和Java各分享一个案例。 .NET 案例:XmlSerializer反序列化漏洞 案例描述 在.NET框架中,XmlSeriali
阅读全文
详解Web应用安全系列(8)不足的日志记录和监控
摘要:在Web安全领域,不足的日志记录和监控是一个重要的安全隐患,它可能导致攻击者能够更隐蔽地进行攻击,同时增加了攻击被检测和响应的难度。以下是对Web攻击中不足的日志记录和监控漏洞的详细介绍。 一、日志记录不足的问题 日志缺失或不完整 关键操作未记录:如用户登录、敏感数据访问、系统管理员操作等关键操作未
阅读全文
详解Web应用安全系列(9)点击劫持
摘要:点击劫持(Clickjacking)漏洞,也被称为界面伪装攻击(UI Redress Attack)或UI覆盖攻击,是一种利用视觉欺骗手段进行的网络攻击方式。这种攻击方式通过技术手段欺骗用户点击他们本没有打算点击的位置,从而达到攻击者的目的。 一、点击劫持的原理 点击劫持攻击主要利用了HTML中的<
阅读全文
详解Web应用安全系列(10)文件上传漏洞
摘要:文件上传漏洞(File Upload Vulnerabilities)是Web攻击中常见的一种安全漏洞,它允许攻击者上传并执行恶意文件,从而可能对Web服务器造成严重的安全威胁。 一、定义与原理 文件上传漏洞是指Web应用程序在处理用户上传的文件时,由于缺乏对上传文件的类型、大小、内容等属性的严格检
阅读全文
