十大常见漏洞

Web应用常见的安全漏洞有哪些

随着存在安全隐患的Web应用程序数量的骤增，Open Web Application Security Project （开放式Web应用程序安全项目，缩写为OWASP）总结出了现有Web应用程序在安全方面常见的十大漏洞，以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险：

一、非法输入

Unvalidated Input

在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。

二、失效的访问控制

Broken Access Control

大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

三、失效的账户和线程管理

Broken Authentication and Session Management

有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、会话令牌、

账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。

四、跨站点脚本攻击

XSS 跨站漏洞以及钓鱼式攻击

XSS，中文名称为跨站脚本，是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击，所以往往被人们忽视。

由于WEB应用程序没有对用户的输入进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，此这种攻击能在一定程度上隐藏身份。

由于跨站脚本不能直接对系统进行攻击，所以跨站脚本总是伴随社会工程学来

实现攻击的，这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多，如获取Cookie, 伪造页面,屏蔽页面特定信息,与其它漏洞结合攻击操作系统等等。钓鱼式攻击是针对人脑的攻击方式，它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统，凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。

在电子商务蓬勃发展的今天，针对个人财务信息的钓鱼攻击事件数量成直线上升，其中一个主要攻击途径就是跨站脚本执行漏洞。据统计，国内外存在跨站脚本漏洞的网站多达60%, 其中包括许多大型知名网站。

这是一种常见的攻击，当攻击脚本被嵌入企业的Web页面或其它可以访问的Web

资源中，没有保护能力的台式机访问这个页面或资源时，脚本就会被启动，这种攻击可以影响企业内成百上千员工的终端电脑。

网站开发者角度，如何防护XSS攻击?

对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检

测攻击;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。

网站用户角度，如何防护XSS攻击?

当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭

JavaScript。如果使用IE浏览器，将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。

五、缓存溢出问题

Buffer Overflows

这个问题一般出现在用较早的编程语言、如C语言编写的程序中，这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。

六、注入式攻击

Injection Flaws

如果没有成功地阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问，在Web表单中输入的内容应该保持简单，并且不应包含可被执行的代码。（详看SQL注入）

七、异常错误处理

Improper Error Handling

当错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

八、不安全的存储

Insecure Storage

对于Web应用程序来说，妥善保存密码、用户名及其他与身份验证有关的信息是

非常重要的工作，对这些信息进行加密则是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在安全漏洞。

九、程序拒绝服务攻击

Application Denial of Service

与拒绝服务攻击 (DoS)类似，应用程序的DoS攻击会利用大量非法用户抢占应用程序资源，导致合法用户无法使用该Web应用程序。

十、不安全的配置管理

Insecure Configuration Management

有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。

以上十个漏洞并不能涵盖如今企业Web应用程序中的全部脆弱点，它只是OWASP 成员最常遇到的问题，也是所有企业在开发和改进Web应用程序时应着重检查的内容。