Owasp top10 1.sql注入原理: web APP应用程序是否过滤了用户提供的数据的有效性。 前端传递的参数是攻击者可以控制且参数带入数据库的查询,攻击者可以通过恶意SQL语句实现对数据库的任意操作。 2 .失效认证和会话管理原理:开发web APP应用程序时,开发人员往往只关注web APP应用程序所需的功能,因此经常制定自定义的认证和会话计划。 但是,这些方案很难准确实现。 其结果是在注销、密码管理、超时、密码回收、账户更新等方面存在漏洞。 危害:由于存在上述漏洞,恶意用户可能会窃取、操作用户会话和cookie来模仿合法用户。 例如,访问冒充盗取用户证书和会话信息的用户查看或修改记录并执行事务的非法页面和资源; 执行超出权限的操作。 eg )用户认证证书没有使用高兴姐姐或加密保护;
会话ID暴露于URL (例如,URL重写); 3 .跨网站脚本攻击XSS定义:黑客通常通过“HTML注入”篡改网页,插入恶意脚本,在用户浏览网页时控制用户浏览器的攻击由于第一次攻击是跨域进行的,所以称为“跨站点脚本攻击”,但现在由于js的强大功能和网站前端APP应用的复杂性,是否跨域并不重要。 实施XSS攻击的条件:1.需要在网页中注入恶意html代码。 2 .这些恶意代码可以在浏览器中正常运行。 根据XSS效果,分为以下几类。
反射型XSS (非持续型XSS ) :向用户发送页面和链接,也称为“非持续型XSS”,点击进行攻击。 将存储型XSS (持久型XSS )攻击存储在服务器上,所有访问它的人都可能受到攻击,从而提高主动性。 DOM XSS :本质上是反射型的,但是用户点击可以修改原始DOM元素的属性,区分攻击行为反射型和DOM型:
反射型制作攻击动作,等待你打开那一页; dom类型也在等待单击,但使用用户操作而不是页面注释原始操作,然后添加自己修改的操作。 4 .直接引用不安全对象(IDOR定义:不安全直接对象引用) (IDOR )使攻击者能够绕过站点验证机制,并通过更改指向对象的链接的参数值来访问其他用户的数据库原因1.web APP应用程序往往在生成网页时使用其真实名称,而不是在访问所有目标对象时检查用户权限; 2 .服务器上的内部资源(如具体文件名、路径和数据库关键字)暴露在URL和网页中,攻击者可以尝试直接访问其他资源。 5 .安全配置错误:定义:安全配置错误是网络服务、平台、web服务器、APP应用服务器、数据库、框架、自定义代码,以及APP应用栈中的任何一个影响:攻击者可以从未修复的漏洞、默认帐户、不再使用的页面、不受保护的文件和目录中非法访问和理解系统。 6 )机密信息泄露(原因)由于管理者和技术人员等各种原因,铭感情信息泄露得以解决。 因此,需要对传输过程的数据、保存的数据、与浏览器交换的数据等机密数据进行加密。 7 .缺少功能级访问控制:原理:如果在web APP应用的功能再次出现UI之前未验证功能级访问权限,则攻击者可以伪造请求,并在没有适当权限时访问功能。 8 .要求跨站伪造:原理:1.用户输入账户信息要求登录A网站。 2. A网站验证用户信息,验证成功后向用户返回cookie。 3 .在未退出网站a之前,在同一浏览器中请求了黑客结构的恶意网站b。 4. B站点在用户请求下返回攻击性代码,构建访问Web站点的语句。 5 .浏览器收到攻击性代码后,在用户不知情的情况下携带cookie信息请求a网站。 这时,a网站不知道这是由b开始的。 攻击条件: a用户访问了站点a,cookie b用户没有退出a,同时访问了B CSRF分类。 如果有GET型:网站的某个功能,用户修改邮箱是在GET请求中修改的。 例如,/user.php? id=1password=123456表示用户id=1的密码更改为123456,攻击者可以让用户单击链接。 此时,如果用户正在访问此页面,则帐户密码将更改为123456。
POST型:如果一个网站开发人员的安全意识不够,攻击者获得用户提交表格处理的地址,则可能会因伪造POST表格进行恶意提交(如购买物品)而导致损失。
CSRF漏洞挖掘成功捕获请求的包,如果没有Referer字段和token,则有很可能存在CSRF漏洞的Referer字段,但如果去除Referer字段并重新发送也有效,则基本上是CSRF漏洞防御手段:使用验证http referer中记录的请求源地址是否为合法用户地址(即最初登录的源地址)的重要功能动态验证码进行CSRF保护的token方式进行CSRF保护, 9 .验证CSRF攻击,比较服务器端POST提交参数的token与绑定到Session的token是否匹配9 .使用包含已知漏洞的组件:原理:大多数开发团队都在组件和库之间进行比较但是,如果APP应用程序使用具有已知漏洞的组件,则可能会破坏APP应用程序防御系统,导致重大数据丢失和服务器接管。 10 .未验证的重定向和转发:原因: web APP应用程序未验证具有用户录入参数的所需url。 此时,攻击者可以引导用户访问用户想要访问的用户
站点(钓鱼网站)。此外还有获取信息,访问恶意网站,随意跳转,安装恶意软件等。