马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
1.SQL注入毛病
毛病形貌
Web步伐中对于用户提交的参数未做过滤直接拼接到SQL语句中实行,导致参数中的特别字符粉碎了SQL语句原有逻辑,攻击者可以使用该毛病实行恣意SQL语句,如查询数据、下载数据、写入webshell、实行体系下令以及绕过登录限定等。
修复发起
代码层最佳防御sql毛病方案:使用预编译sql语句查询和绑定变量。
- 使用预编译语句,使用PDO必要注意不要将变量直接拼接到PDO语句中。全部的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前险些全部的数据库体系都提供了参数化SQL语句实行接口,使用此接口可以非常有用的防止SQL注入攻击。
- 对进入数据库的特别字符(’”<>&*;等)举行转义处置处罚,或编码转换。
- 确认每种数据的范例,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
- 数据长度应该严酷规定,能在肯定水平上防止比力长的SQL注入语句无法准确实行。
- 网站每个数据层的编码同一,发起全部使用UTF-8编码,上下层编码差别等有大概导致一些过滤模子被绕过。
- 严酷限定网站用户的数据库的操纵权限,给此用户提供仅仅可以或许满意其工作的权限,从而最大限度的镌汰注入攻击对数据库的危害。
- 制止网站体现SQL错误信息,比如范例错误、字段不匹配等,防止攻击者使用这些错误信息举行一些判断。
- 过滤伤害字符,比方:接纳正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则制止运行。
2.XSS
毛病形貌
1、Web步伐代码中对用户提交的参数未做过滤或过滤不严,导致参数中的特别字符粉碎了HTML页面的原有逻辑,攻击者可以使用该毛病实行恶意HTML/JS代码、构造蠕虫、窜改页面实行垂纶攻击、以及诱导用户再次登录,然后获取其登录凭据等。
2、XSS攻击对Web服务器自己虽无直接危害,但是它借助网站举行传播,对网站用户举行攻击,偷取网站用户账号身份信息等,从而也会对网站产生较严肃的威胁。
XSS攻击可导致以下危害:
1、垂纶诱骗:最范例的就是使用目标网站的反射型跨站脚本毛病将目标网站重定向到垂纶网站,大概通过注入垂纶JavaScript脚本以监控 目标网站的表单输入,乃至攻击者基于DHTML技能发起更高级的垂纶攻击。
2、网站挂马:跨站时,攻击者使用Iframe标签嵌入隐蔽的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,举行挂马。
3、身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS攻击可以偷取用户的cookie,从而使用该cookie偷取用户对该网站的操纵权限。
4、偷取网站用户信息:当偷取到用户cookie从而获取到用户身份时,攻击者可以偷取到用户对网站的操纵权限,从而检察用户隐私信息。
5、垃圾信息发送:在交际网站社区中,使用XSS毛病借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
6、挟制用户Web举动:一些高级的XSS攻击乃至可以挟制用户的Web举动,从而监视用户的欣赏汗青、发送与吸收的数据等等。
7、XSS蠕虫:借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、粉碎数据、实行DDoS攻击等。
修复发起
【】xss毛病本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码体现到页面上时做好一系列的过滤与转义
(1)过滤输入的数据,对比方:“ ‘ ”,“ “ ”,” < “,” > “,” on* “,script、iframe等伤害字符举行严酷的查抄。这里的输入不光仅是用户可以直接交互的输入接口,也包罗HTTP哀求中的Cookie中的变量,HTTP哀求头部中的变量等。
(2)不光验证数据的范例,还要验证其格式、长度、范围和内容。
(3)不光在客户端做数据的验证与过滤,关键的过滤步调在服务端举行。
(4)对输出到页面的数据举行相应的编码转换,如HTML实体编码、JS编码等。对输出的数据也要查抄,数据库里的值有大概会在一个大网站的多处都有输出,纵然在输入做了编码等操纵,在各处的输出点时也要举行查抄。
3.XXE
毛病详情
参考:https://www.freebuf.com/company-information/165769.html
修复发起
1、查抄所使用的底层XML分析库,默认克制外部实体的分析。
2、若使用第三方应用代码必要及时升级补丁。
3、对用户提交的XML数据举行过滤。
4.CSRF
毛病形貌:
CSRF是跨站哀求伪造,不攻击网站服务器,而是假冒用户在站内的正常操纵。通常由于服务端没有对哀求头做严酷过滤引起的。CSRF会造成暗码重置,用户伪造等题目,大概引发严肃结果。绝大多数网站是通过 cookie 等方式辨识用户身份,再予以授权的。以是要伪造用户的正常操纵,最好的方法是通过 XSS 或链接诱骗等途径,让用户在本机(即拥有身份 cookie 的欣赏器端)发起用户所不知道的哀求。CSRF攻击会令用户在不知情的环境下攻击自己已经登录的体系。
修复发起
1、验证哀求的Referer是否来自本网站,但可被绕过。
2、在哀求中参加不可伪造的token,并在服务端验证token是否划一或准确,禁绝确则抛弃拒绝服务。
5.SSRF
毛病形貌
SSRF(Server-Side Request Forgery,服务器端哀求伪造):普通的来说就是我们可以伪造服务器端发起的哀求,从而获取客户端所不能得到的数据。SSRF毛病形成的缘故原由告急是服务器端所提供的接口中包罗了所要哀求的内容的URL参数,而且未对客户端所传输过来的URL参数举行过滤。这个毛病造成的危害有:
1、可以对外网、服务器地点内网、当地举行端口扫描,获取一些服务的banner信息。
2、攻击运行在内网或当地的应用步伐(比如溢出)。
3、对内网Web应用举行指纹辨认,通过访问默认文件实现。
4、攻击表里网的Web应用,告急是使用Get参数就可以实现的攻击(比如Struts2毛病使用,SQL注入等)。
5、使用File协议读取当地文件。
修复发起
1、禁用不必要的协议,只答应HTTP和HTTPS哀求,可以防止雷同于file://, gopher://, ftp:// 等引起的题目。
2、白名单的方式限定访问的目标地点,克制对内网发起哀求。
3、过滤或屏蔽哀求返回的详细信息,验证远程服务器对哀求的相应是比力容易的方法。如果web应用是去获取某一种范例的文件。那么在把返回效果展示给用户之前先验证返回的信息是否符合尺度。
4、验证哀求的文件格式。
5、克制跳转。
6、限定哀求的端口为http常用的端口,比如 80、443、8080、8000等。
7、同一错误信息,制止用户可以根据错误信息来判断远端服务器的端口状态。
6.恣意下令/代码实行
毛病形貌
下令或代码实行毛病是指代码未对用户可控参数做过滤,导致直接带入实行下令和代码,通过毛病实行恶意构造的语句,实行恣意下令或代码。攻击者可在服务器上实行恣意下令,读写文件操纵等,危害巨大。
修复发起
1、严酷过滤用户输入的数据,克制实行非预期体系下令。
2、镌汰或不使用代码或下令实行函数
3、客户端提交的变量在放入函数进步行检测
4、镌汰或不使用伤害函数
7.恣意文件上传
毛病形貌
文件上传毛病通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相干分析毛病未修复而造成的,如果文件上传功能代码没有严酷限定和验证用户上传的文件后缀、范例等,攻击者可通过文件上传点上传恣意文件,包罗网站后门文件(webshell)控制整个网站。
修复发起
1、对上传文件范例举行验证,除在前端验证外在后端依然要做验证,后端可以举行扩展名检测,重定名文件,MIME范例检测以及限定上传文件的巨细等限定来防御,或是将上传的文件其他文件存储服务器中。
2、严酷限定和校验上传的文件,克制上传恶意代码的文件。同时限定相干上传文件目次的实行权限,防止木马实行。
3、对上传文件格式举行严酷校验,防止上传恶意脚本文件;
4、严酷限定上传的文件路径。
5、文件扩展名服务端白名单校验。
6、文件内容服务端校验。
7、上传文件重定名。
8、隐蔽上传文件路径。
恣意文件下载
“恣意⽂件下载”毛病是⼀种常⻅的安全毛病,攻击者可以通过构造特定的哀求,从⽽下载服务器上的恣意⽂件,包罗敏感⽂件和设置⽂件等。
修复
- 发起对下载文件的路径进⾏限定:在下载文件之前,必要对文件路径进⾏限定,只答应下载特定的文件,⽽不是全部的文件。可以通过⽩名单的方式,来限定下载的文件路径;
- 发起查抄用户权限:在下载文件之前,必要查抄用户的权限,只答应有权限的用户进⾏下载。可以通过用户认证和授权等方式来确保用户权限的合法性;
- 发起对文件进⾏加密:对敏感文件进⾏加密处置处罚,纵然攻击者乐成下载了文件,但是由于⽆法解密文件,以是⽆法得到敏感信息;
- 发起增强日志
 监控:增强日志监控,及时记载并分析下载文件的哀求,发现非常哀求,及时采取相应的防御步伐,确保服务器安全。
8.目次穿越/目次遍历
毛病形貌
文件下载或获取文件体现内容页面由于未对传入的文件名举行过滤,使用路径回溯符…/跳出步伐自己的限定目次,来下载或体现恣意文件。
修复发起
对传入的文件名参数举行过滤,而且判断是否是答应获取的文件范例,过滤回溯符…/。
9.文件包罗
毛病形貌
当地文件包罗是指步伐在处置处罚包罗文件的时间没有严酷控制。使用这个毛病,攻击者可以先把上传的文件、网站日志文件等作为代码实行或直接体现出来,大概包罗远程服务器上的恶意文件,进而获取到服务器权限。
修复发起
1、严酷查抄变量是否已经初始化。
2、对全部输入提交大概包罗的文件地点,包罗服务器当地文件及远程文件,举行严酷的查抄,参数中不答应出现./和…/等目次跳转符。
3、严酷查抄文件包罗函数中的参数是否外界可控。
10.弱口令
毛病形貌
由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而举行下一步的攻击,如上传webshell,获取敏感数据。
别的攻击者使用弱口令登录网站管理背景,可实行恣意管理员的操纵。
修复发起
1、逼迫用户初次登录时修改默认口令,或是使用用户自界说初始暗码的计谋;
2、美满暗码计谋,信息安全最佳实践的暗码计谋为8位(包罗)以上字符,包罗数字、巨细写字母、特别字符中的至少3种。
3、增长人机验证机制,限定ip访问次数。
11.暴力破解
毛病形貌
由于没有对登录页面举行相干的人机验证机制,如无验证码、有验证码但可重复使用以及无登录错误次数限定等,导致攻击者可通过暴力破解获取用户登录账号和暗码。
修复发起
1、如果用户登录次数高出设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)
2、如果某个IP登录次数高出设置的阈值,则锁定IP
3、增长人机验证机制
4、验证码必须在服务器端举行校验,客户端的统统校验都是不安全的。
12.越权访问
毛病形貌
由于没有对用户访问脚色的权限举行严酷的查抄及限定,导致当前账号可对其他账号举行相干操纵,如检察、修改等。对低权限对高权限账户的操纵为纵向越权,雷同权限账户之间的操纵成为横向越权也称水平越权。
修复发起
1、对用户访问脚色的权限举行严酷的查抄及限定。
2、在一些操纵时可以使用session对用户的身份举行判断和控制。
13.未授权访问
毛病形貌
未授权访问毛病是指攻击者可以在未经授权的环境下访问应⽤步伐、体系或⽹络中的敏感信息或功能。这种范例的毛病通常是由于安全设置不当或实行过程中的⼈为错误造成的。
攻击者利⽤未授权访问毛病可以执⾏各种恶意运动,比方偷取用户数据、修改设置⽂件、引⼊恶意软件等。这大概会导致数据走漏、服务停⽌、违背合规要求等结果。
修复发起
- 发起实行访问控制:限定⽤户访问权限,确保只有颠末授权的⽤户才气访问受掩护的资源。可以使⽤⻆⾊/权限管理体系、访问控制列表(ACL)等实现访问控制;
- 发起强化身份验证:使⽤强暗码计谋、多因素认证等⽅式来增强身份验证的安全性。比方,可以要求⽤户在登录时输⼊⽤户名和暗码,并通过短信或应⽤步伐⽣成的令牌进⾏身份验证;
- 发起审计和监视⽤户运动:记载⽤户对体系资源的访问和操纵,以便及时发现非常⾏为。可以使⽤安全信息和变乱管理体系(SIEM)等⼯具来实现审计和监视;
- 发起更新和加固软件:定期更新和修补软件,以消除已知毛病和缺陷。同时,使⽤安全编程技能和代码检察来镌汰新毛病的出现;
- 发起进⾏毛病扫描:定期进⾏毛病扫描和渗出测试,及时发现未授权访问毛病并采取步伐进⾏修复;
- 发起增强⽹络安全防御:使⽤⼊侵检测和防⽕墙等⼯具来掩护⽹络安全,镌汰攻击者进⼊体系的机会。同时,订定应急预案和安全计谋,提⾼构造的⽹络安全意识。
14.列目次
毛病形貌
由于web服务器设置不当,开启了目次欣赏,攻击者可得到服务器上的文件目次结构,获取敏感文件。
修复发起
1、通过修改设置文件,克制中央件(如IIS、apache、tomcat)的文件目次索引功能
2、设置目次访问权限
15.PHP反序列化
毛病形貌
php反序列化毛病也叫PHP对象注入,形成起因于步伐未对用户输入的序列化字符串举行检测,导致攻击者可以控制反序列化过程,从而导致代码实行、文件操纵、实行数据库操纵等不可控结果。这一类攻击在java、python等面向对象语言中均存在。
可参考:https://www.freebuf.com/articles/web/167721.html
修复发起
1、对传入的对象举行严酷的过滤查抄
2、在反序列化过程实行的文件读写、下令或代码实行函数中是否有用户可控的参数。
16.http slow拒绝服务攻击
毛病形貌
按照计划,HTTP协议要求服务器在处置处罚之前完全吸收哀求。 如果HTTP哀求没有完成,大概传输速率非常低,服务器会保持其资源忙于等候别的数据。如果服务器保持太多的资源哀求和处置处罚,这将造成一个拒绝服务。严肃者一台主机即可让web运行痴钝乃至是瓦解。
修复发起
对于 Apache 可以做以下优化(其他服务器原理雷同):
1、设置符合的 timeout 时间(Apache 已默认启用了 reqtimeout 模块),规定了 Header 发送的时间以及频率和 Body 发送的时间以及频率
2、增大 MaxClients(MaxRequestWorkers):增长最大的毗连数。根据官方文档,两个参数是一回事,版本差别,MaxRequestWorkers was called MaxClients before version 2.3.13.Theold name is still supported.
3、默认安装的 Apache 存在 Slow Attack 的威胁,缘故原由就是固然设置的 timeoute,但是最大毗连数不敷,如果攻击的哀求频率充足大,仍然会占满Apache的全部毗连
17.CRLF注入
毛病形貌
CRLF 是“回车 +换行”(\r\n)的简称。在 HTTP 协议中,HTTPHeader 与 HTTP Body 是用两个 CRLF 符号举行分隔的,欣赏器根据这两个 CRLF 符号来获取 HTTP 内容并体现。因此,一旦攻击者可以或许控制 HTTP 消息头中的字符,注入一些恶意的换行,就能注入一些会话 Cookie 大概 HTML 代码。
修复发起
1、过滤 \r 、\n 及其各种编码的换行符,制止输入的数据污染到其他 HTTP 消息头。
18.LDAP注入
毛病形貌
由于Web 应用步伐没有对用户发送的数据举行恰当过滤和查抄,攻击者可修改LDAP 语句的结构,而且以数据库服务器、Web 服务器等的权限实行恣意下令,答应权大概会答应查询、修改或撤除 LDAP 树状构造内任何数据。
修复发起
对用户的输入内容举行严酷的过滤。
19.URL 跳转
毛病形貌
有的Web 应用步伐中使用URL参数中的地点作为跳转链接的功能 ,攻击者可实行垂纶、恶意网站跳转等攻击。
修复发起
1、在举行页面跳转前校验传入的URL是否为可信域名。
2、白名单规定跳转链接
20.明文传输
毛病形貌
用户登录过程中使用明文传输用户登录信息,若用户遭受中央人攻击时,攻击者可直接获取该用户登录账户,从而举行进一步渗出。
修复发起
1、用户登录信息使用加密传输,如暗码在传输前使用安全的算法加密后传输,可接纳的算法包罗:不可逆hash算法加盐(4位及以上随机数,由服务器端产生);安全对称加密算法,如AES(128、192、256位),且必须包管客户端密钥安全,不可被破解或读出;非对称加密算法,如RSA(不低于1024位)、SM2等。
2、使用https来包管传输的安全。
21.网页木马
毛病形貌
经渗出测试发现目标站点存在webshell,攻击者可直接爆破口令使用木马,非常低资源的举行恶意操纵。
修复发起
1、确认并删除木马文件,并举行当地文件毛病扫描排查是否还存在有其他木马。
2、发现并及时修复已存在的毛病。
3、通过检察日志、服务器杀毒等安全排查,确保服务器未被留下后门
22.备份文件走漏
毛病形貌
备份文件走漏告急是由于开发职员或运维管理职员的疏忽所导致。如未及时删除调试页面、未关闭步伐调试功能、未屏蔽步伐错误信息、备份文件未删除、数据库备份文件未删除、未屏蔽敏感数据信息等多个方面所导致的差别严肃水平的信息走漏。攻击者可通过所把握的信息进一步分析攻击目标,从而有用发起下一步的有用攻击。
修复发起
1、不在网站目次下存放网站备份文件或敏感信息的文件。
2、如需存放该类文件,请将文件名定名为难以猜解的无规则字符串。
23.敏感信息走漏
毛病形貌
敏感信息走漏告急是由于开发职员或运维管理职员的疏忽所导致。如未及时删除调试页面、未关闭步伐调试功能、未屏蔽步伐错误信息、备份文件未删除、数据库备份文件未删除、未屏蔽敏感数据信息等多个方面所导致的差别严肃水平的信息走漏。攻击者可通过所把握的信息进一步分析攻击目标,从而有用发起下一步的有用攻击。
修复发起
- 发起如果是探针或测试页面等无用的步伐发起删除,大概修改成难以猜解的名字;
- 发起不影响业务或功能的环境下删除或克制访问走漏敏感信息页面;
- 发起在服务器端对相干敏感信息举行含糊化处置处罚;
- 发起对服务器端返回的数据举行严酷的查抄,满意查询数据与页面体现数据划一。
24.短信/邮件轰炸
毛病形貌
由于没有对短信大概邮件发送次数举行限定,导致可无穷次发送短信或邮件给用户,从而造成短信轰炸,进而大概被大量用户投诉,从而影响公司荣誉。
修复发起
在服务器限定发送短信或邮件的频率,犹如一账号1分钟只能发送1次短信或邮件,一天只能发送3次。
25.phpinfo信息走漏
毛病形貌
Web站点的某些测试页面大概会使用到PHP的phpinfo()函数,会输出服务器的关键信息,造成服务器信息走漏,为攻击提供有利的信息。
修复发起
1、删除phpinfo 函数。
2、若文件无用可直接删除。
26.IIS短文件名走漏毛病
毛病形貌
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网根本服务。 Microsoft IIS在实现上存在文件罗列毛病,攻击者可使用此毛病罗列网络服务器根目次中的文件。危害:攻击者可以使用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework举行拒绝服务攻击。
攻击者可通过该毛病实验获取网站服务器文件的文件名,到达获取更多信息来入侵服务器的目标。
修复发起
修改Windows设置,关闭短文件名功能。
1.关闭NTFS 8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。
2.如果是假造主机空间用户,可接纳以下修复方案:
1)修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1(此修改只能克制NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。
2)如果你的web环境不必要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择克制此功能。
3)升级net framework 至4.0以上版本。
3.将web文件夹的内容拷贝到另一个位置,比如D:\www到D:\www.back,然后删除原文件夹D:\www,再重定名D:\www.back到D:\www。如果不重新复制,已经存在的短文件名则是不会消散的。
27.应用步伐错误信息走漏
毛病形貌
攻击者可通过特别的攻击向量,使web服务器出现500、403等相干错误,导致信息走漏如绝对路径、webserver版本、源代码、sql语句等敏感信息,恶意攻击者很有大概使用这些信息实行进一步的攻击。
修复发起
1、自界说错误页面或使用同一的错误页面提示。
28.Apache Tomcat默认文件
毛病形貌
Apache Tomcat默认样例文件没有删除或限定访问,大概存在cookie、session伪造,举行背景登录操纵
修复发起
1、删除样例文件
2、限定文件访问权限
29.Crossdomain.xml 设置不当
毛病形貌
网站根目次下的 crossdomain.xml 文件指明白远程Flash 是否可以加载当前网站的资源(图片、网页内容、Flash等)。如果设置不当,大概导致遭受跨站哀求伪造(CSRF)攻击。
修复发起
对于不必要从外部加载资源的网站,在 crossdomain.xml 文件中更改allow-access-from的domain属性为域名白名单。
30.目标服务器启用了不安全 HTTP 方法
毛病形貌
目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法体现大概在服务器上使用了 WebDAV,由于dav方法答应客户端使用服务器上的文件,如上传、修改、删除相干文件等伤害操纵,如果没有公道设置dav,有大概答应未授权的用户对其举行使用,修改服务器上的文件。
修复发起
1、关闭不安全的传输方法,只开启POST、GET方法。
2、如果服务器不使用 WebDAV 可直接禁用,或为答应webdav的目次设置严酷的访问权限,如认证方法,认证必要的用户名,暗码。
31.weblogic SSRF服务器哀求伪造
毛病形貌
目标存在weblogic SSRF服务器哀求伪造毛病。WebLogic是用于开发、集成、摆设和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。SSRF(Server-Side Request Forgery:服务器端哀求伪造) 是一种由攻击者构造形成由服务端发起哀求的一个安全毛病。一样平常环境下,SSRF攻击的目标是从外网无法访问的内部体系。(正是由于它是由服务端发起的,以是它可以或许哀求到与它相连而与外网隔离的内部体系)。Weblogic中央件默认带有“UDDI 目次欣赏器”且为未授权访问,通过该应用,可举行无回显的SSRF哀求。攻击者可使用该毛病对企业内网举行大规模扫描,相识内网结构,并大概团结内网毛病直接获取服务器权限。
修复发起
1、若不影响业务则可删除uddiexplorer文件夹
2、限定uddiexplorer应用只能内网访问
32.Apache Struts2 远程代码实行毛病(S2-019)
毛病形貌
Apache Struts2的“Dynamic MethodInvocation”机制是默认开启的,仅提示用户如果大概的环境下关闭此机制,如果未关闭此机制将导致远程代码实行毛病,远程攻击者可使用此毛病在受影相应用上下文中实行恣意代码。
修复发起
1、如今厂商已经发布了升级补丁以修复这个安全题目,请到厂商的主页下载。
2、大概手工设置struts.xml文件<constantname="struts.enable.DynamicMethodInvocation"value=“false”/>
33.Apache Struts2 远程代码实行毛病(S2-037)
毛病形貌
Apache Struts2在使用REST插件时,攻击者可以绕过动态方法实行的限定,调用恶意表达式实行远程代码。
修复发起
发起用户到官方获取最新补丁大概最新版本步伐。
34.Apache Struts2 DevMode 远程代码实行毛病
毛病形貌
为了便于开发职员调试步伐,Struts2提供了一个devMode模式,可以方便检察步伐错误以及日志等信息。当Struts2中的devMode模式设置为true时,存在严肃远程代码实行毛病。如果WebService 启动权限为最高权限时,可远程实行恣意下令,包罗关机、创建新用户、以及删除服务器上全部文件等等。
修复发起
发起用户到官方获取最新补丁大概最新版本步伐。
大概将struts.properties中的devMode设置为false,或是在struts.xml中添加如下代码: <constant name="struts.devMode"value=“false”/>。
35.Apache Struts2 远程代码实行毛病(S2-045)
毛病形貌
Apache Struts2的Jakarta Multipartparser插件存在远程代码实行毛病,毛病编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,修改HTTP哀求头中的Content-Type值来触发该毛病,导致远程实行代码。
修复发起
检测方式检察web目次下/WEB-INF/lib/目次下的struts-core.x.x.jar ,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在毛病。
1、发起用户到官方获取最新补丁大概最新版本步伐。
2、更新至Strusts2.3.32大概Strusts2.5.10.1,或使用第三方的防护装备举行防护。
3、临时办理方案:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。
4、修改WEB-INF/classes目次下的设置在WEB-INF/classes目次下的struts.xml中的struts 标签下添加<constantname=”struts.custom.i18n.resources”value=”global”/>;在WEB-INF/classes/目次下添加global.properties,文件内容如下:struts.messages.upload.error.InvalidContentTypeException=1
36.Apache Struts2 远程代码实行毛病(S2-033)
毛病形貌
Apache Struts2在开启动态方法调用(DynamicMethod Invocation)的环境下,攻击者使用REST插件调用恶意表达式可以远程实行代码。
修复发起
1、用户到官方获取最新补丁大概最新版本步伐。
2、大概在答应的环境下禁用动态方法调用(Dynamic Method Invocation),修改Struts2的设置文件struts.xml,将struts.enable.DynamicMethodInvocation设置为“false”。
37.redis相干毛病修复
毛病形貌
redis默认没有口令大概会造成未授权访问造成信息走漏,若redis为高权限账户运行,大概导致服务器权限丢失等。
修复发起
1.禁用一些高危下令
常见如:flushdb,flushall,config,keys 等
2.以低权限运行 Redis 服务
3.为 Redis 添加暗码验证
4.克制外网访问 Redis
5.包管 authorized_keys 文件的安全
38.恣意用户注册毛病(身份认证缺失)
毛病形貌
由于应用在最初计划时由于未思量全⾯,在登录、注册、找回暗码、付出模块中步伐的判断逻辑及步伐的处置处罚流程上存在缺陷,导致攻击者可以绕过步伐的处置处罚流程,从而到达特定的目标,如暴力破解暗码,恣意用户注册、恣意用户登录、恣意暗码重置及各种付出毛病。
中高危
毛病修复
对新注册用户的绑定手机号举行短信身份认证,短信验证码请不要仅使用短数字,最好是以字母加数字进⾏组合,而且验证码必要限定逾期时间和验证错误次数,防止短信验证码被暴力破解。
- 发起验证用户身份后再返回token信息;
- 发起对用户登录接⼝举行多重身份验证,如token令牌,短信验证码,多个参数团结认证等方式;
- 严酷校验客户端提交的用户登录哀求,对应哀求的用户身份和当前登录的用户身份举行服务端与客户端双向校验,判断是否有权登任命户。
39 会话标识未失效毛病
简介: Session 是应用体系对欣赏器客户端身份认证的属性标识,在用户注销或关闭欣赏器时,体系应将客户端Session 认证属性标识清空
危害: 如果未能清空 Session 认证会话,该认证会话将一连有用,此时攻击者得到该Session 认证会话会导致用户权限被偷取
毛病发掘:
1、登录状态点击注销,欣赏器退却,若返回数据分析存在毛病;若跳转登录页面分析无毛病
2、登录状态点击注销,重复发送带有之前sessionID的数据包,如有数据返回分析存在毛病
3、登录状态,长时间未操纵(根据业务需求)仍然可举行访问和操纵
修复发起:
1、在用户注销或退出应用体系时,服务器应及时烧毁Session认证会话信息并清空客户端欣赏器Session属性标识
2、对每个天生的Session认证会话设置生命周期
APP安全毛病
1反编译
0x01 毛病形貌
APK文件是安卓工程打包的终极情势,将apk安装得手机大概模拟器上就可以使用APP。反编译apk则是将该安卓工程的源码、资源文件等内容破解出来举行分析。
0x02 毛病危害
攻击者通过反编译可获取应用安卓客户端应用的源代码,攻击者可根据源代码获取对应接口信息,加密算法、密钥,以及一些硬编码在代码中的其他敏感信息,从而举行进一步攻击。
0x03 修复意见
使用市面上安卓加固的厂商对安卓APP举行加固,比如360、梆梆等。
2安装包署名
0x01 毛病形貌
Android体系要求安装的应用必须用数字证书举行署名后才气安装,而且署名证书的私钥由应用开发者生存。署名证书的天生也由开发者自己天生。在应用安装时会校验包名(package name)和署名,如果体系中已经存在了一个雷同的包名和署名的应用,将会用新安装的应用更换旧的;如果包名雷同但是署名差别,则会安装失败。
应用署名完后在应用的META-INF目次下会有三个文件: CERT.RSA、CERT.SF和MANIFEST.MF。
MANIFEST.MF中生存了全部其他文件的SHA1择要并base64编码后的值。
CERT.SF文件是对MANIFEST.MF文件中的每项中的每行加上“\r\n”后,再次SHA1择要并base64编码后的值(这是为了防止通过窜改文件和其在MANIFEST.MF中对应的SHA1择要值来窜改APK,要对MANIFEST的内容再举行一次数字择要)。
CERT.RSA文件:包罗了署名证书的公钥信息和发布机构信息。
0x02 毛病危害
署名信息中包罗的构造信息,将便于用户辨认安装包的真伪。
0x03 修复意见
在应用步伐发布时使用企业署名对安装包举行署名。
3应用完备性
0x01 毛病形貌
客户端若未举行应用完备性校验,经二次打包后的Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外貌它都跟正规APP如出一辙但是背后它确悄悄运行着可骇的步伐,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等举动。
0x02 毛病危害
插入自己广告大概删除原来广告;
恶意代码,恶意扣费、木马等;
修改原来付出逻辑;
0x03 修复意见
在应用发布时使用360、梆梆等安全厂商举行安全加固。
对署名文件中classes.dex哈希值的校验
可参考下列文章:
android APK安全性校验
Android防重署名和二次打包
Android 应用防止被二次打包指南
4恣意数据备份
0x01 毛病形貌
Android属性allowBackup安全风险源于adb backup答应任何一个可以或许打开USB 调试开关的人,从Android手机中复制应用数据到外设,一旦应用数据被备份之后,全部应用数据都可被用户读取,adb restore答应用户指定一个规复的数据泉源(即备份的应用数据)来规复应用步伐数据的创建。
因此,当一个应用数据被备份之后,用户即可在其他Android手机或模拟器上安装同一个应用,以及通过规复该备份的应用数据到该装备上,在该装备上打开该应用即可规复到被备份的应用步伐的状态。
0x02 毛病危害
当allowBackup标志为true时,用户即可通过adb backup和adb restore来举行对应用数据的备份和规复。
尤其是通讯录应用,一旦应用步伐支持备份和规复功能,攻击者即可通过adb backup和adb restore举行规复新安装的同一个应用来检察谈天记载等信息;对于付出金融类应用,攻击者可通过此来举行恶意付出、偷取存款等;
0x03 修复意见
设置android:allowBackup值为false。
5步伐可被调试
0x01 毛病形貌
当在 AndroidManifest.xml文件中设置 android:debuggable="true"时,应用步伐可以以调试模式启动,并被恣意调试器附加调试。
0x02 毛病危害
客户端若设置了可被动态调试时,增长了apk被破解、分析的风险。
如今动态调试器的功能都很强盛,如果debuggable属性为true,则可容易被调试,通常用于告急代码逻辑分析、破解付费功能等。
0x03 修复意见
在应用发布时,不要将android:debuggable的值改为ture。
6Root环境检测
0x01 毛病形貌
Android安全架构是基于Linux多用户机制的访问控制。在Linux操纵体系中,root的权限是最高的,也被称为超等权限的拥有者。在体系中,每个文件、目次和进程,都归属于某一个用户,没有用户答应别的寻常用户是无法操纵的,但对root除外。
root用户的特权性还表如今:
对文件或目次举行读取、修改或删除;
对可实行步伐的实行、制止;
对硬件装备的添加、创建和移除等;
对文件和目次举行属主和权限举行修改,以得当体系管理的必要;
root是逾越任何用户和用户组的,基于用户ID的权限机制的沙盒是无法隔离的。
0x02 毛病危害
攻击者可在root的终端上对应用步伐举举措态调试、内存访问窜改、Hook应用步伐与服务端交互流量等。
0x03 修复意见
3.1 检察体系是否为测试版
可以检察发布的体系版本,是test-keys(测试版),还是release-keys(发布版)。
但是在实际环境下,也有某些厂家的正式发布版本也是test-keys
3.2 查抄是否存在Superuser.apk
Superuser.apk是一个被广泛使用的用来root安卓装备的软件,以是可以查抄这个app是否存在。
3.3 查抄su下令
su是Linux下切换用户的下令,在使用时不带参数,就是切换到超等用户。通常我们获取root权限,就是使用su下令来实现的,以是可以查抄这个下令是否存在。
3.4 实行busybox
BusyBox集成压缩了 Linux 的很多工具和下令,以是若装备root了,很大概Busybox也被安装上了。
3.5 访问/data目次,检察读写权限
在Android体系中,有些目次是寻常用户不能访问的,比方 /data、/system、/etc等。
可以以/data为例,来举行读写访问。先写入一个文件,然后读出,检察内容是否匹配,若匹配,才以为体系已经root了。
详细代码可参考:
Android root检测方法小结
7模拟器环境检测
0x01 毛病形貌
安卓模拟器是一种可以运行在电脑上的假造装备,通过它可以实现应用的跨平台操纵,让移动端APP无需任何改动即可在PC上实行。
模拟器作为一种假造机,共同改机工具,可以或许以较低资源实现装备多开,因此而备受黑灰产的青睐。
0x02 毛病危害
可使用PC端其他辅助工具完成对移动端应用的支持,如通过按键精灵完成主动挂机等操纵。
通过模拟器多开功能,零资源体验同时多部手机、多个账户开小黑屋,实现刷单、薅羊毛。
通过模拟器虚订定位伪造真实地理位置。
。。。
0x03 修复意见
在客户端代码中增长模拟器检测代码。
模拟器的检测秉持一句话:抓取特性值与真机比力。
可参考下列文章:
Android模拟器检测体系梳理
检测Android假造机的方法和代码实现
8署理环境检测
0x01 毛病形貌
APP客户端通过宿主机与服务器举行流量交互,攻击者可通过设置Wi-Fi、网卡署理举行中央人挟制,抓取通讯过程中的流量包,举行进一步分析使用。
0x02 毛病危害
攻击者可使用Charles、fiddler、BurpSuite等抓包工具,抓包分析网络流量及api接口信息,从而进一步分析相干接口、参数等安全题目。
0x03 修复意见
查抄是不是用了Http署理,如果是,客户端不发送网络哀求;
通过Okhttp设置默认署理;
代码可参考:
Android检测署理
9SQLite敏感信息
0x01 毛病形貌
ndroid中有些时间会将一些隐私数据存放在sqlite数据库中,在root过的手机中通过RE就可以或许轻松的打开并检察数据库全部内容。
0x02 毛病危害
SQLite不支持加密,应用中告急的数据、账号暗码等容易被走漏。
0x03 修复意见
3.1 加密数据库内容
在存储数据时加密内容,在查询时举行解密。但是这种方式不能彻底加密,数据库的表结构等信息还是能被检察到,别的检索数据也是一个题目。
3.2 加密数据库文件
借助SQLCipher。SQLCipher是一个在SQLite底子之上举行扩展的开源数据库,它告急是在SQLite的底子之上增长了数据加密功能。
加密性能高、开销小,只要5-15%的开销用于加密
完全做到数据库100%加密
接纳精良的加密方式(CBC加密模式)
使用方便,做到应用级别加密
接纳OpenSSL加密库提供的算法
10LogCat敏感信息
0x01 毛病形貌
在 Android 中有一种名为 LogCat 的日志机制,不光体系日志信息,另有应用日志信息也会输出到LogCat。
开发职员通常会通过打印出的日志信息来分析、定位题目。如果对外发布版本的时间,忘记关闭相干的日志打印。LogCat 中的日志信息可以从同一装备中的其他应用中读出,敏感信息不应输出到LogCat,因此向Logcat输出敏感信息的应用,被以为具有信息走漏的毛病。
0x02 毛病危害
攻击者通过调试可获取到logcat输出的敏感信息,造成敏感信息走漏
0x03 修复意见
在发行版应用中,最好不要输出任何日志。
为了APP的错误收罗,非常反馈,须要的日志如要被输出,需依照安全编码规范将风险控制在最小范围内
详细代码及实现请参考:
Android Logcat Security
11硬编码敏感信息
0x01 毛病形貌
信息安全的底子在于暗码学,而常用的暗码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果走漏,对于对称暗码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称暗码算法大概署名算法,根据密钥和要加密的明文,很容易得到盘算出署名值,从而伪造署名。
若将加密密钥、数据库毗连信息、背景信息等敏感信息硬编码在Java代码、文件中,将导致敏感信息走漏,造成更大危害。
0x02 毛病危害
硬编码敏感信息走漏,造成的安全题目一样平常无法被容易修正。比方:
在代码中走漏使用未指定账户的硬编码暗码,如许远程攻击者获取到敏感信息,可以通过访问数据库得到管理控制权限;
当地用户可以通过读取设置文件中的硬编码用户名和暗码来实行恣意代码;
0x03 修复意见
使用市面上安卓加固的厂商对安卓APP举行加固,比如360、梆梆等。
使用DexGuard
对敏感信息举行伪装大概加密
敏感信息隐蔽在原生函数库中(.so文件)
可参考下列文章:
Android安全开发之浅谈密钥硬编码
关于Android敏感信息
12通讯加密
0x01 毛病形貌
在开发应用步伐时,最好将网络哀求限定为须要的网络哀求。对于须要的,请确保它们是通过HTTPS而不是HTTP制作的。HTTPS是一种加密流量的协议,因此窃听者无法容易拦截它。
多年来,HTTPS协议已被多次使用。固然可以使用HTTPS的方式包管与服务端加密传输,但是我们仍然可以通过网卡、wifi署理、Hook等方式挟制未加密的流量数据包。
0x02 毛病危害
攻击者通过嗅探、中央人挟制等本领可获取到客户端与服务端的交互数据包,从而可以或许举行数据流量分析与窜改,举行进一步的攻击。
0x03 修复意见
通讯加密需接纳两种本领同时加固:
3.1 使用HTTPS加密传输
3.2 对数据包举行加密,比如使用AES等
13键盘记载
0x01 毛病形貌
在应用软件在运行时,用户在装备上的一举一动都将被详细记载下来,更多的是在使用者毫无觉察的环境下将屏幕内容以图片的情势、按键内容以文本文档的情势生存在指定的文件夹或发送到指定的邮箱。键盘记载,包罗物理按键与软键盘的监控,通常监控的变乱有:点击,长按,滑动等,这些时间在Android上体现出来的都是一系列的KeyEvent。
0x02 毛病危害
客户端应用步伐若未针对键盘记载掩护增长相干安全计谋,攻击者可将记载下来的键盘记载发送到指定邮箱或post到指定网页。
0x03 修复意见
发起使用自界说随机的软键盘;
对输入框打码处置处罚
14远程下令实行
“远程下令执⾏RCE(remote command execute)”毛病是指攻击者通过使用Web应⽤步伐的输⼊参数,以执⾏恶意下令的⽅式,控制⽬标体系,进⾏恶意操纵,包罗获取敏感信息、删除⽂件等。
修复发起
- 发起添加输⼊验证:Web应⽤步伐应该对输⼊参数进⾏有用性验证,制止攻击者通过提交恶意参数进⾏攻击;
- 发起限定下令执⾏:Web应⽤步伐应该限定恶意下令的执⾏,比方禁⽌⽤户输⼊特定的下令或参数,制止攻击者通过执⾏下令进⾏攻击;
- 发起实现授权机制:Web应⽤步伐应该实现授权机制,限定每个⽤户对下令执⾏的权限,确保只有具备相应权限的⽤户才气执⾏下令;
- 发起增强安全审计:Web应⽤步伐应该增强对下令执⾏的安全审计,包罗对执⾏的下令、下令泉源等信息进⾏记载和分析,及时发现和修复毛病。\
15安全设置错误
安全设置错误毛病是指在对应用步伐、框架、应用步伐服务器、web服务器、数据库服务器等实行安全设置时,由于设置不当导致的毛病。比方使用了有安全缺陷的版本、没有修改默认的帐户暗码、给了某些帐户过高的权限、对敏感资源没有做访问控制等等,让攻击者有了可乘之机,可以不经授权就可以访问某些体系数据或使用体系功能。
修复
- 安装体系时做到最小化安装,不安装非须要的功能;使用一个应用步伐时,删除示例代码和文档。
- 在设置权限时,应当使用“最小权限原则”并使用“默认拒绝”的计谋。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金 |
发表于 2026-2-8 19:25:03