根据您的经验,您在站点漏洞方面发现、处理或遇到了什么?您采取了哪些措施来缓解这些问题?
这可能包括 XSS(跨站点脚本)、SQL 注入攻击、普通的旧 DDOS 或对您网站客户的网络钓鱼尝试。就在昨天,我遇到了整个 Firefox 工具,用于审核网站及其潜在的各种漏洞。
希望扩展我在该领域的知识以担任职务,因此阅读或学习更多信息总是好的 - 也感谢可靠的链接!还有你发现的最糟糕的战争故事或你见过的最可怕的洞——从经验中学习有时是最好的方法!
问问题
894 次
2 回答
7
我已经为数十个(数百个?)应用程序和站点进行了安全审查,包括白盒和黑盒。
XSS 和 SQL 注入受到了很多关注,但知道我发现最常见的安全漏洞是什么吗?在生产代码中保留调试和测试功能。通过篡改 POST 参数 (isDebug=True) 或通过爬取站点并查找剩余页面,这些都是我看到的有关安全性的最严重错误。如果您包含测试/调试代码,请将其放在单独的代码分支中,或者至少准备一份清单以在启动之前删除。
我见过的下一个最常见的漏洞就是通过从页面源获取 URL 来绕过安全机制的能力。技术名称是“强制导航”或“强制浏览”这是任何可以阅读 HTML 的人都可以做到的事情,但我对各种易受攻击的应用程序感到惊讶。昨天查看一个购票网站,我可以使用这种方法购买售罄演出的门票。在以前的网站上,我可以完全跳过付款(很多很多 Paypal 网站通过 POST 参数将“购买完成”URL 传递给 paypal - yoink!)。您需要某种后端状态或检查以确保完成、付款、可用性、准确性等。
坦率地说,我通常让 AppScan、BURP 代理、WebScarab、Fortify、FindBugs 或 YASCA(取决于预算和源代码可访问性)等工具为我找到 XSS 和 SQL 注入攻击。我会自己尝试简单的东西,寻找明显的漏洞,但是有太多已知的组合可以自己尝试。我为更高级或最近发现的缺陷保留了一小部分脚本和测试用例。
我将在 3 点停下来,因为我真的可以继续一整天,我正在从你的问题中失去注意力,而且没有人愿意阅读一面墙的文字。
一些新的和经验丰富的网络安全专家的资源:(啊。我还不能正式发布链接。复制/粘贴。抱歉)
开放式 Web 应用程序安全项目 (OWASP)
网络安全测试手册
本书是为审计员、测试员编写的,而不是为开发人员编写的。这对于 O'Reilly 的书来说是非常不寻常的。
websecuritytesting.com
Fortify 的漏洞分类
www.fortify.com/vulncat/
常见弱点枚举(警告:广泛)
nvd.nist.gov/cwe.cfm
常见攻击模式枚举和分类(警告:更广泛)
capec.mitre.org/
谷歌的网络安全教程
(比较弱)
code.google.com/edu/security/index.html
于 2009-11-12T16:56:16.773 回答
1
我加入了一个包含文档库的 Web 应用程序项目。它引用文档的方式类似于http://example.com/getdocument?file=somefile.pdf。当然,我只需要尝试 file=/etc/passwd,它当然可以工作。
解决方案:执行用户输入清理和/或在 URL 中请求的资源和实际文件系统资源之间使用某种级别的抽象。
这是 SQL 注入攻击的表亲。检查任何允许的请求,这些请求看起来可疑地赋予了客户端过多的控制权。
于 2009-11-12T14:01:52.090 回答