web安全

3: 只解析特定 可信的公用外部
实体
越权/非授权访问
08
越权/非授权访问
原理：指一个已经授权的 用户通过更改访问时的一 个参数，从而访问到原本 其并没有得到授权的对象
1: 控制整个网 站程序
2:执行系统命令
3: 获取数据库 链接，进行数 据库危险操作
任意文件上传
测试方法：
1: 安全 工具扫描
2: 手工 测试
任意文件上传
防御方法：
1: 白名单检 查文件扩展名
2: 上传文件的保 存目录不可执行
3: 文件名随 机命名
4: 隐藏上传 目录
业务逻辑漏洞
06
业务逻辑漏 洞
5: 利用file协议读取本地文件等。
手工测试
SSRF
测试方法：
SSRF
防御方法：
01
02
03
04
05
1: 过滤返回信息， 验证远程服务器对 请求的响应是比较 容易的方法。如果 web应用是去获取 某一种类型的文件。 那么在把返回结果 展示给用户之前先 验证返回的信息是
否符合标准。
2: 统一错误信息， 避免用户可以根据 错误信息来判断远 端服务器的端口状
任意文件上传
05
任意文件上传
原理：攻击者利用程序缺陷绕过 系统对文件的验证与处理策略将 恶意程序上传到服务器并获得执
行服务器端命令的能力
危害：
测试方法：
防御方法：
任意文件上传
危害：
01
02
03
04
如果恶意攻击 者通过利用上 传漏洞上传一 些 以 PHP、 ASP、JSP脚本 为内容的文件 （webshell）
其他类型
06
防御方法：
CSRF
测试方法：
1: 安全工 具扫描
1
2: 手工测 试
2
CSRF
防御方法：
01
1: Referer；
02
2: token， session
03
3: 验证 码
SSRF
04
名称：Ser ver-side Request Forgery（服务端请求伪造）
SSRF
原理：SSRF 形成的原因大都是由 于服务端提供了从其他服务器应用 获取数据的功能且没有对目标地址 做过滤与限制。比如从指定URL地 址获取网页文本内容，加载指定地 址的图片，下载等等。
CSRF
03
CSRF
01
名称：Cross-site request
forgery（跨站请求伪造）
03
危害：攻击者可以让受害者用户修 改任何允许修改的数据，执行任何
用户允许的操作，例如修改密码，
登录注销等
05
测试方法：
02
原理：通过伪装来自受信任用户的
请求来利用受信任的网站
04
漏洞分类：GET类型、POST类型、
02
2:Βιβλιοθήκη Baidu手动测试， 盲注
03
3: fuzzing测试。 模糊测试，是一 种软件测试技术
04
4: 安全工具扫 描
SQL注入
防御方法：
01
1：参数化查询（预编译， Java， PrepareStatement()），可 彻底杜绝SQL注入
03
3: 限制应用用户数据库操 作权限
05
5: 使用框架（Mybatis、 IBatis等）
漏洞分类：存储型，反射型，DOM 型
测试方法：
防御方法：
01
1: 手动 测试
XSS
测试方法：
02
2： 安 全工具
扫描
03
3: fuzzing 测试。
XSS
防御方法：
1: 输入过滤（过滤， 拦截，黑白名单）
2: 输出编码/ 转义
3: cookie增加 HttpOnly属性
4: 输入内容格式限 制（类型、长度）
态。
3: 限制请求的端口 为http常用的端口，
比如， 80,443,8080,809
0。
4: 黑名单内网ip。 避免应用被用来获 取获取内网数据，
攻击内网。
5: 禁用不需要的协 议。仅仅允许http 和https请求。可
以防止类似于 file:///,gopher:/ /,ftp:// 等引起的
问题。
危害：
测试方法：
防御方法：
SSRF
危害：
1：可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务 的banner信息;
2: 攻击运行在内网或本地的应用程序（比如溢出）;
3: 对内网web应用进行指纹识别，通过访问默认文件实现;
4: 攻击内外网的web应用，主要是使用get参数就可以实现的攻击 （比如struts2，sqli等）;
原理： 开发在开发程序中，根据假设条件来执行一系列操作，假设条件
设计的不够全面，程序执行多步流程时设计不到位，就可能导致逻 辑问题。使得一些用户的功能操作偏离了程序员的预想范围，进而 对公司业务造成一定的影响。 危害：
使得一些用户的功能操作偏离了程序员的预想范围，进而对公司 业务造成一定的影响。比如跳过支付某些流程等。 漏洞分类：
注册、登录、密码找回、下单逻辑等 测试方法
手工测试 防御方法：
具体业务场景具体分析
XXE
07
XXE
1
名称： XML External Entity（xml外部实体
注入）
2
原理：当程序在解析XML 输入时，允许引用外部实 体，导致能够引用一个外
部恶意文件
4
测试方法：
5
防御方法：
3
危害：
XXE
危害：
2020
web安全
SQL注入
01
SQL注入
防御方法：
5
测试方法：
4
漏洞分类：数字型、字符型、搜 索型
3
原理：通过把sql命令插入到
1
form表单或者网址的query参数 字符串部分，最后达到欺骗服务
器执行恶意的sql命令。
2
危害：拖库。数据库数据泄露， 数据安全事件。
SQL注入
测试方法：
01
1：sqlmap（一 款用来检测与利 用SQL注入漏洞 的免费开源工具）
02
2: 过滤（白名单、黑名单）
04
4: 输入内容格式限制（类 型、长度）
XSS
02
XSS
名称：Cross-site scripting（跨 站脚本攻击）
原理： 当应用程序在发送给浏览器 的页面中包含用户提供的数据，但 没有经过适当验证和转义，在用户 的浏览器中执行攻击者定制的脚本。
危害：攻击者在受害者浏览器中执 行脚本以劫持用户会话，插入恶意 内容，重定向用户，使用恶意软件 劫持用户浏览器等。结合其他漏洞 产生危害，比如结合CSRF攻击实现 用户cookie的大面积盗取。
01
1：执行系统 命令/代码
05
5: DDOS 攻击
02
2: 内网端口 探测
04
4: 攻击内网 服务
03
3: 文件读取
手工测试
XXE
测试方法：
XXE
防御方法：
1: 禁用xml解 析外部实体
2: 过滤用户提交的 xml数据（过滤关键 词：<!DOCTYPE，
<!ENTITY， SYSTEM，PUBLIC）