常見漏洞危害及定義

常見漏洞危害及定義常見漏洞危害及定義/NUMPAGES14常見漏洞危害及定義常見漏洞危害及定義一、Web服務(wù)端安全SQL注入攻擊名詞解釋：SQL注入攻擊（SQLInjection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。由于在設(shè)計程序時，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫誤認(rèn)為是正常的SQL指令而運(yùn)行，從而使數(shù)據(jù)庫受到攻擊，可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除，甚至執(zhí)行系統(tǒng)命令等，以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。常見發(fā)生位置：1）URL參數(shù)提交，主要為GET請求參數(shù)；2）表單提交，主要是POST請求，也包括GET請求；3）Cookie參數(shù)提交；4）HTTP請求頭部的一些可修改的值，比如Referer、User_Agent等；5）一些邊緣的輸入點，比如.mp3、圖片文件的一些文件信息等。防御措施：1）使用預(yù)編譯語句。一般來說，防御SQL注入的最佳方式，就是使用預(yù)編譯語句，綁定變量，但對現(xiàn)有代碼的改動量較大；2）使用存儲過程。使用安全的存儲過程可在一定程度上對抗SQL注入，但要注意此種方法并不是100%安全；3）嚴(yán)格檢查用戶數(shù)據(jù)。對用戶傳入的數(shù)據(jù)類型及內(nèi)容進(jìn)行嚴(yán)格的檢查。對數(shù)據(jù)類型檢查，如利用ID查詢時判斷是否為整型，輸入郵箱時判斷郵箱格式，輸入時間、日期等必須嚴(yán)格按照時間、時期格式等；對數(shù)據(jù)內(nèi)容進(jìn)行檢查，如嚴(yán)格檢測用戶提交數(shù)據(jù)中是否包含敏感字符或字符串，是否匹配某種注入規(guī)則，嚴(yán)格轉(zhuǎn)義特殊字符等。注意此種方法雖然便于實施，但容易產(chǎn)生誤報和漏報，且容易被繞過；4）其他。使用安全的編碼函數(shù)、統(tǒng)一各數(shù)據(jù)層編碼格式（如統(tǒng)一使用UTF-8等）、嚴(yán)格限制數(shù)據(jù)庫用戶權(quán)限、定期進(jìn)行代碼黑盒白盒掃描、避免將錯誤信息顯示到頁面等。文件上傳名詞解釋：文件上傳漏洞是指由于程序代碼未對用戶提交的文件進(jìn)行嚴(yán)格的分析和檢查，導(dǎo)致攻擊者可以上傳可執(zhí)行的代碼文件，從而獲取Web應(yīng)用的控制權(quán)限（Getshell）。常見發(fā)生位置：1）所有使用到上傳功能的位置；2）用戶可自定義的頭像、背景圖片等；3）富文本編輯器中的文件上傳功能防御措施：1）上傳目錄設(shè)置為不可執(zhí)行；2）嚴(yán)格判斷文件類型，使用白名單而不是黑名單（注意大小寫問題）。需要注意的是一些與WebServer相關(guān)的漏洞所造成的問題，如Apache、IIS、Nginx等的文件解析漏洞；3）使用隨機(jī)數(shù)改寫上傳后的文件名和文件路徑；4）單獨(dú)設(shè)置文件服務(wù)器及域名。權(quán)限漏洞名詞解釋：訪問控制是指用戶對系統(tǒng)所有訪問的權(quán)限控制，通常包括水平權(quán)限和垂直權(quán)限。訪問控制問題是所有業(yè)務(wù)系統(tǒng)都可能產(chǎn)生的邏輯類漏洞，很難通過日常的安全工具掃描或防護(hù)，通常會造成大量用戶數(shù)據(jù)泄露事件。水平越權(quán)：同一權(quán)限（角色）級別的用戶之間所產(chǎn)生的問題，如A用戶可以未授權(quán)訪問B用戶的數(shù)據(jù)等；垂直越權(quán)：不同權(quán)限（角色）級別的用戶之間所產(chǎn)生的問題，如普通用戶可未授權(quán)進(jìn)行管理操作，未登錄用戶可以訪問需授權(quán)應(yīng)用等。常見發(fā)生位置：1）所有涉及到與用戶相關(guān)數(shù)據(jù)的位置，如用戶資料、地址、訂單等；2）所有涉及到登錄及權(quán)限控制的位置，如后臺登錄、當(dāng)前用戶權(quán)限校驗等。防御措施：1）對于所有涉及到用戶數(shù)據(jù)的操作，嚴(yán)格判斷當(dāng)前用戶的身份；2）對于所有需要權(quán)限控制的位置，嚴(yán)格校驗用戶權(quán)限級別。暴力破解名詞解釋：暴力破解是指攻擊者通過遍歷或字典的方式，向目標(biāo)發(fā)起大量請求，通過判斷返回數(shù)據(jù)包的特征來找出正確的驗證信息，從而繞過驗證機(jī)制。隨著互聯(lián)網(wǎng)眾多網(wǎng)站的數(shù)據(jù)庫被泄露，攻擊者選擇的樣本可以更具針對性，暴力破解的成功率也在不斷上升。常見發(fā)生位置：1）用戶登錄處的賬號密碼暴力破解；2）人機(jī)驗證機(jī)制容易繞過，如使用較易識別的驗證碼；3）找回密碼或二次身份驗證等可能用到的手機(jī)短信驗證碼；防御措施：1）強(qiáng)制使用強(qiáng)密碼，并定期修改；2）限制密碼錯誤嘗試次數(shù)；3）使用強(qiáng)人機(jī)驗證機(jī)制；4）限制一定時間內(nèi)的高頻訪問次數(shù)拒絕服務(wù)攻擊名詞解釋：拒絕服務(wù)攻擊（DoS，DenialofService）是利用合理的請求造成資源過載，從而導(dǎo)致服務(wù)不可用的一種攻擊方式。分為針對Web應(yīng)用層的攻擊、客戶端/APP的攻擊。常見發(fā)生位置：1)Web層常見于會大量消耗資源的位置，如查找功能等；2)客戶端/APP常見于異常輸入數(shù)據(jù)造成的程度崩潰。防御措施：針對Web層DoS：1)限制每個客戶端的請求頻率；2)使用驗證碼過濾自動攻擊者；3)做好應(yīng)用代碼的性能優(yōu)化，網(wǎng)絡(luò)架構(gòu)優(yōu)化等；針對客戶端/APP拒絕服務(wù)攻擊：1)刪除不必要的組件；2)對用戶輸入數(shù)據(jù)進(jìn)行過濾和檢查。敏感信息泄露名詞解釋：敏感信息泄露是指包括用戶信息、企業(yè)員工信息、內(nèi)部資料等不應(yīng)當(dāng)被外部訪問到的數(shù)據(jù)通過網(wǎng)站、接口、外部存儲等途徑被未授權(quán)泄露到外部的漏洞。信息泄露漏洞會導(dǎo)致大量用戶或企業(yè)信息被惡意利用，進(jìn)行詐騙、賬戶竊取等，給用戶和企業(yè)帶來嚴(yán)重的不良影響。并且信息一旦信息被泄露，影響會很難消除。常見發(fā)生位置：1)獲取用戶、企業(yè)信息等數(shù)據(jù)的網(wǎng)站或客戶端接口；2)企業(yè)可訪問到的外部存儲，如網(wǎng)盤、郵箱等；3)其他一切可能泄露數(shù)據(jù)的途徑。防御措施：1)對數(shù)據(jù)接口進(jìn)行嚴(yán)格的權(quán)限檢查和訪問限制；2)劃分企業(yè)安全邊界，限制內(nèi)部數(shù)據(jù)外流，如禁止訪問外部存儲應(yīng)用等；3)提高員工數(shù)據(jù)安全意識。業(yè)務(wù)邏輯漏洞名詞解釋：業(yè)務(wù)邏輯漏洞是指由于業(yè)務(wù)在設(shè)計時考慮不全所產(chǎn)生的流程或邏輯上的漏洞，如用戶找回密碼缺陷，攻擊者可重置任意用戶密碼；如短信炸彈漏洞，攻擊者可無限制利用接口發(fā)送短信，惡意消耗企業(yè)短信資費(fèi)，騷擾用戶等。由于業(yè)務(wù)邏輯漏洞跟業(yè)務(wù)問題貼合緊密，常規(guī)的安全設(shè)備無法有效檢測出，多數(shù)需要人工根據(jù)業(yè)務(wù)場景及特點進(jìn)行分析檢測。常見發(fā)生位置：所有涉及到用戶交互的位置。防御措施：針對業(yè)務(wù)場景進(jìn)行全面的檢測。安全配置缺陷包括：文件遍歷、源碼泄露、配置文件泄露等。文件遍歷：可以瀏覽服務(wù)器Web目錄下的文件列表，可能會泄露重要文件；源碼泄露：可以查到的Web程序的源代碼；配置文件泄露：Web服務(wù)器及程度代碼的配置文件泄露等。防御措施：1）檢查所有可能存在安全配置問題的點，在滿足業(yè)務(wù)需求的情況下，最大化安全配置。二、Web客戶端安全跨站腳本攻擊（XSS）名詞解釋：跨站腳本攻擊（XSS,CrossSiteScript）通常指黑客通過“HTML注入”篡改了網(wǎng)頁，插入惡意腳本，從而在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器的一種攻擊。XSS漏洞可被用于用戶身份竊?。ㄌ貏e是管理員）、行為劫持、掛馬、蠕蟲、釣魚等。XSS是目前客戶端Web安全中最重要的漏洞。XSS按效果的不同可以分為3種：a.反射XSS：頁面僅把用戶輸入直接回顯在頁面或源碼中，需要誘使用戶點擊才能成功；b.存儲XSS：XSS攻擊代碼會被存儲在服務(wù)器中，由于用戶可能會主動瀏覽被攻擊頁面，此種方法危害較大；c.DOMXSS：通過修改頁面的DOM節(jié)點形成XSS，嚴(yán)格來講也可劃為反射型XSS。常見發(fā)生位置：1）所有涉及到用戶可控的輸入輸出點，如個人信息、文章、留言等。防御措施：1）對重要的Cookie字段使用HTTPOnly參數(shù)；2）檢查所有用戶可控輸入。對所有的輸入點進(jìn)行嚴(yán)格的檢查，過濾或攔截所有不符合當(dāng)前語境的輸入。由于無法預(yù)期所有可能的輸出點語境，此種方法效果較差；3）檢查所有用戶輸入的輸出點。因為XSS最終攻擊是發(fā)生在輸出點，因此需要分析出用戶輸入數(shù)據(jù)的所有輸出點的環(huán)境，是輸入在HTML標(biāo)簽中，還是HTML屬性、<script>標(biāo)簽、事件、CSS位置中，針對不同的輸出位置，制定不同的轉(zhuǎn)義或過濾規(guī)則；4）處理富文本。在文章、論壇等需要用到富文本的地方，需要特別注意富文本與XSS的區(qū)分，嚴(yán)格禁止所有的危險標(biāo)簽及“事件”，原則上應(yīng)當(dāng)使用白名單過濾標(biāo)簽、事件及屬性。跨站點請求偽造（CSRF）名詞解釋：跨站點請求偽造（CSRF,CrossSiteRequestForgery）。由于重要操作的所有參數(shù)都是可以被攻擊者猜到，攻擊者即可偽造請求，利用用戶身份完成攻擊操作，如發(fā)布文章、購買商品、轉(zhuǎn)賬、修改資料甚至密碼等。常見發(fā)生位置：1）所有由用戶（包括管理員）發(fā)起的操作處。防御措施：1）使用驗證碼。驗證碼是對抗CSRF