主机运维
当前位置:主页 > 建站资讯 > 主机运维 >
网站安全保护的常见漏洞有哪些
发布日期:2021-04-19 阅读次数: 字体大小:

在我们的SINE安全Web渗透测试中,网站漏洞利用率最高的五个漏洞。 常见漏洞包括注入漏洞,文件上传漏洞,文件包含漏洞,命令执行漏洞,代码执行漏洞,跨站点脚本(XSS)漏洞,SSRF漏洞,XML外部实体(XXE)漏洞,反序列化漏洞,解析漏洞等。,因为这些安全漏洞可能被黑客利用,从而影响了业务。 以下每条路径都存在安全风险。 黑客可以通过一系列攻击方法发现目标的安全漏洞。 如果成功利用了安全漏洞,则目标将受到黑客的控制,威胁到目标资产或正常功能的使用,并最终导致业务影响。
常见webtop5漏洞描述如下。
1.注入漏洞。 由于其普遍性和严重性,注射漏洞始终在webtop10漏洞中始终排名第一。 常见的注入漏洞包括SQL,LDAP,os命令,ORM和OGNL。 用户可以通过任何输入点输入构造的恶意代码。 如果应用程序没有严格过滤用户的输入,则一旦输入的恶意代码作为命令或查询的一部分发送到解析器,它就可能导致注入漏洞。 以SQL注入为例,因为攻击者通过浏览器或其他客户端将恶意sql语句插入到网站参数中,并且网站应用程序直接将恶意sql语句带入数据库并在不进行过滤的情况下执行该操作,最终导致传递 数据库获取敏感信息或其他恶意操作。
2.跨站点脚本(XSS)漏洞。xss漏洞的全名是跨站点脚本漏洞。 为了不与缩写级联样式表(CSS)混淆,跨站点脚本漏洞被缩写为XSS。xss漏洞是Web应用程序中的常见安全漏洞,它使用户可以将恶意代码插入Web页面。 当其他用户访问此页面时,将在其他用户的客户端上执行植入的恶意脚本。XSS泄漏有很多危害。 客户的用户信息可以通过xss漏洞获取,例如用户的登录cookie信息; 信息可以通过xss蜗牛传播传递:特洛伊木马可以植入客户端; 您可以结合其他漏洞来攻击服务器,然后在服务器中插入特洛伊木马。 具有上载功能的应用程序中存在文件上载漏洞。 如果应用程序对用户上传的文件没有控制或缺陷,则攻击者可以使用应用程序上传功能中的缺陷将诸如特洛伊木马和病毒之类的有害文件上传到服务器,然后控制服务器。 在实际战斗中最常见的是xss跨站攻击。 如果要在网站上执行漏洞检测,则必须依靠手动审核和渗透测试。 建议从网站安全公司寻求安全服务。 国产的更好,例如SINESAFE和Eagle Shield Security。,绿盟科技,金星之星等。3.文件上传漏洞。 文件上载漏洞的主要原因是应用程序中存在上载功能,但是上载的文件未通过严格的合法性检查或检查功能存在缺陷,这导致特洛伊木马文件被上载到服务器。 文件上传漏洞非常有害,因为恶意代码可以直接上传到服务器,这可能会导致严重的后果,例如服务器网页修改,网站暂停,服务器远程控制和后门安装。 文件上传漏洞主要涉及通过前端js旁路,文件名旁路和Content-Type旁路上传恶意代码。
4。 该文件包含漏洞。 未对文件包含功能中包含的文件参数进行过滤或严格定义。 参数可以由用户控制,并且可以包含意外的文件。 如果文件中存在恶意代码,则无论文件的后缀类型是什么,文件中的恶意代码都将被解析并执行,从而导致文件包含漏洞。 文件中包含的漏洞可能会导致诸如网页修改,网站暂停,服务器远程控制和后门安装之类的危害。
5.命令执行中的漏洞。 应用程序的某些功能需要调用可以执行系统命令的功能。 如果这些功能或功能参数可由用户控制,则恶意命令可能会通过命令连接器被拼接为正常功能,从而可以随意执行系统命令。 这是命令执行漏洞,它是高风险漏洞之一。

标签:SQL注入特洛伊木马ContentXSS跨站攻击解析器OS命令WebTOPXSS漏洞前端JS旁路Cookie信息级联样式表XSS蜗牛传播恶意SQL语句