Open PyxYuYu opened 7 years ago
Each time you love, love as deeply as if it were forever.
SQL
LDAP
Xpath
OS
XML
SMTP
prepared statements
stored procedures
bind variables
API
escape
URL
session fixation
OWASP
XSS
Web
DOM
JavaScript
ActiveX
Flash
Silverlight
HTML
CSS
Struts
Spring
ASP.NET
0x01 OWASP Top 10
SQL
查询语句、LDAP
查询语句、Xpath
查询语句、OS
命令、XML
解析器、SMTP
头、程序参数中找到,注入漏洞很容易通过审查代码发现,但是不容易在测试中发现,扫描器和模糊测试工具可以帮助攻击者找到这些漏洞SQL
调用,这就意味着在所有准备语句(prepared statements
)和存储过程(stored procedures
)中使用绑定变量(bind variables
),并避免使用动态查询语句API
,完全避免使用解释器或提供参数化界面的API
,但要注意有些参数化的API
,比如存储过程(stored procedures
),如果使用不当,仍然可以引起注入漏洞API
,那么应该使用解释器具体的escape
语法来避免特殊字符URL
中session fixation
)的攻击OWASP
的应用程序安验证标准XSS
)XSS
是最普遍的Web
应用安全漏洞,当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(escape
),就会导致跨站脚本漏洞,有三种已知的跨站漏洞类型:DOM
的XSS
JavaScript
,ActiveX
,Flash
和Silverlight
,这使得自动检测变得很困难,因此需要同时采用人工代码审计和手动渗透测试XSS
需要将不可信数据与动态的浏览器内容区分开,需要确保发送给浏览器的所有用户提供的输入都经过了恰当的转义(escape
),或者在这些内容被显示在页面之前已经验证它们通过输入验证都是安全的,输出内容也经过恰当的转义或验证HTML
上下文(包括主体、属性、JavaScript
、CSS
或URL
)对所有的不可信数据进行恰当的转义(escape
)Web
页面时,应用程序经常使用对象的实名或关键字,而应用程序并不会每次都验证用户是否具有权限访问该目标对象,这就导致了不安全的直接对象引用漏洞,测试者可以轻易操作参数值以检测该漏洞,代码分析能很快显示应用程序是否进行了适当的权限验证Web
服务器、应用服务器、数据库、框架和自定义代码,开发人员和系统管理员需共同努力,以确保整个堆栈的正确配置,自动扫描器可用于检测未安装的补丁、错误的配置、默认账户的使用、不必要的服务等Web
/应用服务器、数据库管理系统、应用程序和其他所有的代码库文件Struts
、Spring
、ASP.NET
)和库文件中的安全设置是否理解正确并配置恰当