SINE安全是Web渗透测试中网站漏洞利用率最高的前五大漏洞。 常见漏洞包括注入漏洞、文件上载漏洞、文件漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS )漏洞、SSRF漏洞和XML外部实体(XXE )漏洞因为这些安全漏洞可能被黑客利用,影响业务。 以下各路径是安全风险。 黑客可以通过一系列攻击手段发现目标的安全弱点。 如果安全漏洞得到成功利用,目标可能会被黑客攻击,威胁目标资产和正常功能的使用,最终影响业务。
以下是常见的WebTOP5漏洞。
1 .注入漏洞。 由于其普遍性和严重性,注入漏洞在WebTOP10的漏洞中始终排名第一。 常见的注入漏洞包括SQL、LDAP、操作系统命令、ORM和OGNL。 用户可以输入从任何输入点构建的恶意代码。 如果APP应用没有严格过滤用户输入,则如果输入的恶意代码作为命令或查询的一部分发送到解析器,可能会注入漏洞。 以SQL注入为例,攻击者通过浏览器或其他客户端在站点参数中插入恶意SQL语句,站点APP将恶意SQL语句直接带到数据库中执行,然后最终从数据库中
2 .跨站点脚本(XSS )漏洞。 XSS漏洞的全名是站点间脚本的漏洞。 为了避免与级联样式表(CSS )的缩写混淆,将跨站点脚本漏洞省略为XSS。 XSS漏洞是web APP应用中常见的安全漏洞,它允许用户将恶意代码嵌入网页中。 当其他用户访问此页面时,嵌入的恶意脚本将在其他用户的客户端上运行。
XSS泄露的危害很多,客户端用户的信息(如用户登录的cookie信息)可以通过XSS漏洞获得,信息可以通过XSS蜗牛传播:木马,并与可以嵌入客户端的其他漏洞联合攻击服务具有上载功能的APP应用程序存在文件上载漏洞。 如果用户上传的文件在APP应用程序上没有控制或缺陷,攻击者就可以利用APP应用程序上传功能中的缺陷将木马、病毒等有害文件上传到服务器,从而控制服务器。 实战中最常见的是XSS跨网站攻击,对网站进行漏洞检测必须人工进行审计和渗透测试。 建议向网站安全公司寻求安全服务。 国内经常举行SINESAFE、鹰盾安全、绿色联盟、启明星辰等。
3 .文件上传不完整。 文件上传漏洞的主要原因是APP应用程序具有上传功能,但上传的文件没有通过严格的合法性检查,或者功能存在缺陷,特洛伊木马文件上传到服务器。 文件上传漏洞非常危险。 由于可以将恶意代码直接上载到服务器,因此可能会导致服务器网页修改、站点暂停、服务器远程控制、后门安装等严重后果。 文件上传的漏洞主要是通过前端JS旁路、文件名旁路和Content-Type旁路上传恶意代码。
4 .文件包含漏洞。 文件中包含的函数中包含的文件参数没有经过过滤或没有严格定义。 参数可以由用户控制,并且可能包含意外的文件。 如果文件中存在恶意代码,则无论文件的后缀类型是什么,都会分析并执行文件中的恶意代码,并且文件中包含漏洞。 文件中的漏洞可能会造成网页修改、网站暂停、服务器远程控制和后门安装等危害。
5 .命令执行不当。 某些APP应用程序函数需要调用可以执行系统命令的函数。 如果用户可以控制这些功能和功能的参数,恶意命令可能会通过命令连接器连接到正常的功能,从而允许用户自由执行系统命令。 这就是命令执行的漏洞,这是高风险的漏洞之一。