3)漏洞类型:缓冲区溢出 跨站脚本 输入认证 SQL注入 权限许可与访问控制
1)业务:缺乏业务风险控制手段 。垃圾注册大量用户获取出事击放和投票权;绕过接口验证机制,尝试批量破解用户账号密码(撞库)
3)数据层:数据明文存储和传输。入侵后窃取用户信息或篡改数据,例如篡改网页
6)网络层:没有防范DDoS进攻的能力。DDoS/CC攻击,造成业务中断
7)移动APP:移动App未加固。反编译破解App客户端,获得敏感代码,进而伪造或篡改信息,或制作仿冒应用
3)网络犯罪:窃取金融信息、个人信息、DDOS、安装Botnet等,主要经济利益驱动
4)自动驱动型黑客:名利驱动型。可以发动高难度的入侵,主要证明自己的能力;
5)白帽子:热爱黑客技术,主要是帮助企业发现安全漏洞,可能是专业也可能是初学者
示例:2016年,中国银行某站MySql注入(涉及管理员密码/大量用户卡号信息)
如果需要动态组装sql语句,确保在使用输入数据在构造SQL之前,对特殊字符进行转义
禁止将任何高权限账号(例如:root\data\sa等)用于应用程序数据库访问。更安全的方法是单独为应用创建有限权限的账号
会话管理:Http利用会话管理机制来实现连接识别。用户登录通过身份认证后获取session,通常放在cookie中,之后根据session对用户身份进行识别,而不需要每次都要登陆
攻击者通过在Web页面输入点 注入恶意脚本,若web应用对输入数据不进行处理,直接结果输出到浏览器,浏览器将执行恶意脚本
非持久型:也称反射型XSS,通过Ge和post方法,将注入的恶意数据放置在URL的query字符串 或 form 数据中。如果服务器端对输入的数据不进行过滤,验证或编码,将恶意数据直接呈现给客户,可能会造成XSS
持久型,也叫存储型XSS,通常因为服务器端未将输入的恶意脚本通过验证就直接存储到数据库
示例:2011年,新浪微博Xss攻击事件:大量用户中毒后自动向自己的粉丝发送带链接的私信和微博,并自动关注一名hellosamy的用户。由于微博使用的是短链接,用户只能看到诱人的新闻标题的私信和微博,当他们点击链接后便也会中毒,造成恶性循环
输入过滤:比较低效,只使用过滤会很难全面(前端包含91中HTML标签、十多种编码方式、数种对象类型...),而且可能导致意外结果(例如:alices变成alices),有时候还需要多次过来(例如:scripscriptt )
示例:澳大利亚一个税务局网站被攻击者通过简单的修改ID获取了上万家公司的信息
将扫描工具和集成Software Security Center。扫描发现的漏洞会自动创建SSC。SSC可以对比前后测试结果改进,提供测试报表
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
