随笔 - 410
文章 - 0
评论 - 519
阅读 -
147万
07 2024 档案
详解Web应用安全系列(10)文件上传漏洞
摘要:文件上传漏洞(File Upload Vulnerabilities)是Web攻击中常见的一种安全漏洞,它允许攻击者上传并执行恶意文件,从而可能对Web服务器造成严重的安全威胁。 一、定义与原理 文件上传漏洞是指Web应用程序在处理用户上传的文件时,由于缺乏对上传文件的类型、大小、内容等属性的严格检
阅读全文
详解Web应用安全系列(9)点击劫持
摘要:点击劫持(Clickjacking)漏洞,也被称为界面伪装攻击(UI Redress Attack)或UI覆盖攻击,是一种利用视觉欺骗手段进行的网络攻击方式。这种攻击方式通过技术手段欺骗用户点击他们本没有打算点击的位置,从而达到攻击者的目的。 一、点击劫持的原理 点击劫持攻击主要利用了HTML中的<
阅读全文
详解Web应用安全系列(8)不足的日志记录和监控
摘要:在Web安全领域,不足的日志记录和监控是一个重要的安全隐患,它可能导致攻击者能够更隐蔽地进行攻击,同时增加了攻击被检测和响应的难度。以下是对Web攻击中不足的日志记录和监控漏洞的详细介绍。 一、日志记录不足的问题 日志缺失或不完整 关键操作未记录:如用户登录、敏感数据访问、系统管理员操作等关键操作未
阅读全文
详解Web应用安全系列(7)使用具有已知漏洞的组件
摘要:使用具有已知漏洞的组件,这种安全漏洞普遍存在,基于组件开发的模式使得多数开发团队根本不了解其应用或API中使用的组件,更谈不上及时更新这些组件了。 下面就分别以.NET和Java各分享一个案例。 .NET 案例:XmlSerializer反序列化漏洞 案例描述 在.NET框架中,XmlSeriali
阅读全文
详解Web应用安全系列(6)安全配置错误
摘要:Web攻击中的安全配置错误漏洞是一个重要的安全问题,它涉及到对应用程序、框架、应用程序服务器、Web服务器、数据库服务器等组件的安全配置不当。这类漏洞往往由于配置过程中的疏忽或错误,使得攻击者能够未经授权地访问系统数据或执行系统功能。 安全配置错误类漏洞是指在对Web应用及相关组件进行安全配置时,由
阅读全文
详解Web应用安全系列(5)敏感数据泄露漏洞
摘要:在最近几年,这是最常见的,最具影响力的攻击。这个领域最常见的漏洞是不对敏感数据进行加密。在数据加密过程中,常见的问题是不安全的密钥生成和管理以及使用弱密码算法,弱协议和弱密码。特别是使用弱的哈希算法来保护密码。在服务端,检测数据传输过程中的数据弱点很容易,但检测存储数据的弱点却非常困难。 敏感数据泄
阅读全文
