附件四常见漏洞危害及定义(先知计划)

简介:


一、Web服务端安全


1.SQL注入攻击
名词解释:


SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。


常见发生位置:


1) URL参数提交,主要为GET请求参数;


2) 表单提交,主要是POST请求,也包括GET请求;


3) Cookie参数提交;


4) HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;


5) 一些边缘的输入点,比如.mp3、图片文件的一些文件信息等。


防御措施:


1) 使用预编译语句。一般来说,防御SQL注入的最佳方式,就是使用预编译语句,绑定变量,但对现有代码的改动量较大;


2) 使用存储过程。使用安全的存储过程可在一定程度上对抗SQL注入,但要注意此种方法并不是100%安全;


3) 严格检查用户数据。对用户传入的数据类型及内容进行严格的检查。对数据类型检查,如利用ID查询时判断是否为整型,输入邮箱时判断邮箱格式,输入时间、日期等必须严格按照时间、时期格式等;对数据内容进行检查,如严格检测用户提交数据中是否包含敏感字符或字符串,是否匹配某种注入规则,严格转义特殊字符等。注意此种方法虽然便于实施,但容易产生误报和漏报,且容易被绕过;


4) 其他。使用安全的编码函数、统一各数据层编码格式(如统一使用UTF-8等)、严格限制数据库用户权限、定期进行代码黑盒白盒扫描、避免将错误信息显示到页面等。


2.文件上传


名词解释:


文件上传漏洞是指由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取Web应用的控制权限(Getshell)。


常见发生位置:


1) 所有使用到上传功能的位置;


2) 用户可自定义的头像、背景图片等;


3) 富文本编辑器中的文件上传功能。


防御措施:


1) 上传目录设置为不可执行;


2) 严格判断文件类型,使用白名单而不是黑名单(注意大小写问题)。需要注意的是一些与Web Server相关的漏洞所造成的问题,如Apache、IIS、Nginx等的文件解析漏洞;


3) 使用随机数改写上传后的文件名和文件路径;


4) 单独设置文件服务器及域名。


3.权限漏洞


名词解释:


访问控制是指用户对系统所有访问的权限控制,通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞,很难通过日常的安全工具扫描或防护,通常会造成大量用户数据泄露事件。


水平越权:同一权限(角色)级别的用户之间所产生的问题,如A用户可以未授权访问B用户的数据等;


垂直越权:不同权限(角色)级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用和了解产品更多知识等等。


常见发生位置:


1) 所有涉及到与用户相关数据的位置,如用户资料、地址、订单等;


2) 所有涉及到登录及权限控制的位置,如后台登录、当前用户权限校验等。


防御措施:


1) 对于所有涉及到用户数据的操作,严格判断当前用户的身份;


2) 对于所有需要权限控制的位置,严格校验用户权限级别。


4.暴力破解


名词解释:


暴力破解是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。随着互联网众多网站的数据库被泄露,攻击者选择的样本可以更具针对性,暴力破解的成功率也在不断上升。


常见发生位置:
1) 用户登录处的账号密码暴力破解;


2) 人机验证机制容易绕过,如使用较易识别的验证码;


3) 找回密码或二次身份验证等可能用到的手机短信验证码;


防御措施:


1) 强制使用强密码,并定期修改;


2) 限制密码错误尝试次数;


3) 使用强人机验证机制;


4) 限制一定时间内的高频访问次数。


5.拒绝服务攻击


名词解释:


拒绝服务攻击(DoS,Denial of Service)是利用合理的请求造成资源过载,从而导致服务不可用的一种攻击方式。分为针对Web应用层的攻击、客户端/APP的攻击。


常见发生位置:


1) Web层常见于会大量消耗资源的位置,如查找功能等;


2) 客户端/APP常见于异常输入数据造成的程度崩溃。


防御措施


针对Web层DoS:


1) 限制每个客户端的请求频率;


2) 使用验证码过滤自动攻击者;


3) 做好应用代码的性能优化,网络架构优化等;


针对客户端/APP拒绝服务攻击:


1) 删除不必要的组件;


2) 对用户输入数据进行过滤和检查。


6.敏感信息泄露


名词解释:


敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用,进行诈骗、账户窃取等,给用户和企业带来严重的不良影响。并且信息一旦信息被泄露,影响会很难消除。


常见发生位置:


1) 获取用户、企业信息等数据的网站或客户端接口;


2) 企业可访问到的外部存储,如网盘、邮箱等;


3) 其他一切可能泄露数据的途径。


防御措施:


1) 对数据接口进行严格的权限检查和访问限制;


2) 划分企业安全边界,限制内部数据外流,如禁止访问外部存储应用等;


3) 提高员工数据安全意识。


7.业务逻辑漏洞


名词解释:


业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞,如用户找回密码缺陷,攻击者可重置任意用户密码;如短信炸弹漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测。


常见发生位置:


所有涉及到用户交互的位置。


防御措施:


针对业务场景进行全面的检测。


8.安全配置缺陷


包括:文件遍历、源码泄露、配置文件泄露等。


文件遍历:可以浏览服务器Web目录下的文件列表,可能会泄露重要文件;


源码泄露:可以查到的Web程序的源代码;


配置文件泄露:Web服务器及程度代码的配置文件泄露等。


防御措施:


1) 检查所有可能存在安全配置问题的点,在满足业务需求的情况下,最大化安全配置。


二、Web客户端安全


1.跨站脚本攻击(XSS)


名词解释:


跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS是目前客户端Web安全中最重要的漏洞。


XSS按效果的不同可以分为3种:



  1. 反射XSS:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功;
  2. 存储XSS:XSS攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大;
  3. DOM XSS:通过修改页面的DOM节点形成XSS,严格来讲也可划为反射型XSS。

常见发生位置


1) 所有涉及到用户可控的输入输出点,如个人信息、文章、留言等。


防御措施:


1) 对重要的Cookie字段使用HTTPOnly参数;


2) 检查所有用户可控输入。对所有的输入点进行严格的检查,过滤或拦截所有不符合当前语境的输入。由于无法预期所有可能的输出点语境,此种方法效果较差;


3) 检查所有用户输入的输出点。因为XSS最终攻击是发生在输出点,因此需要分析出用户输入数据的所有输出点的环境,是输入在HTML标签中,还是HTML属性、


4) 处理富文本。在文章、论坛等需要用到富文本的地方,需要特别注意富文本与XSS的区分,严格禁止所有的危险标签及“事件”,原则上应当使用白名单过滤标签、事件及属性。


2.跨站点请求伪造(CSRF)


名词解释:


跨站点请求伪造(CSRF, Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。


常见发生位置:


1) 所有由用户(包括管理员)发起的操作处。


防御措施:


1) 使用验证码。验证码是对抗CSRF攻击最简洁有效的方法,但会影响用户的使用体验,并且不是所有的操作都可以添加验证码防护。因此,验证码只能作为辅助验证方法;


2) 添加足够随机的csrf_token并每次更新,以防止参数被猜解到。使用CSRF_token是目前通用的防护方法;


3) 验证HTTP Referer,拒绝不安全的来源。但服务器并非在任何情况下都能获取到Referer;


4) 建议配合使用上述方法


相关文章
|
2月前
|
安全 JavaScript 前端开发
阿里云先知安全沙龙(西安站) ——浅谈XSS漏洞挖掘与构造思路
本文介绍了DOM-XSS构造、运算符的威力和模板字符串妙用三个主题。通过多个实例图解,详细展示了如何利用DOM特性构造XSS攻击、JavaScript运算符在代码中的巧妙应用,以及模板字符串在开发中的灵活运用。这些内容对提升Web安全意识和编程技巧具有重要参考价值。
|
2月前
|
机器学习/深度学习 人工智能 安全
阿里云先知安全沙龙(武汉站) ——AI赋能软件漏洞检测,机遇, 挑战与展望
本文介绍了漏洞检测的发展历程、现状及未来展望。2023年全球披露的漏洞数量达26447个,同比增长5.2%,其中超过7000个具有利用代码,115个已被广泛利用,涉及多个知名软件和系统。文章探讨了从人工审计到AI技术的应用,强调了数据集质量对模型性能的重要性,并展示了不同检测模型的工作原理与实现方法。此外,还讨论了对抗攻击对模型的影响及提高模型可解释性的多种方法,展望了未来通过任务大模型实现自动化漏洞检测与修复的趋势。
|
2月前
|
机器学习/深度学习 分布式计算 供应链
阿里云先知安全沙龙(上海站) ——大模型基础设施安全攻防
大模型基础设施的安全攻防体系涵盖恶意输入防御和基础设施安全,包括框架、三方库、插件、平台、模型和系统安全。关键漏洞如CVE-2023-6019(Ray框架命令注入)、CVE-2024-5480(PyTorch分布式RPC)及llama.cpp中的多个漏洞,强调了代码安全性的重要性。模型文件安全方面,需防范pickle反序列化等风险,建议使用Safetensors格式。相关实践包括构建供应链漏洞库、智能化漏洞分析和深度检测,确保全方位防护。
|
2月前
|
运维 供应链 安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
|
2月前
|
存储 缓存 运维
阿里云先知安全沙龙(上海站)——后渗透阶段主机关键信息自动化狩猎的实现与应用
本文介绍了在后渗透测试中使用LSTAR工具和PowerShell脚本进行RDP状态查询、端口获取及凭据收集的过程,强调了高强度实战场景下的OPSEC需求。通过MITRE ATT&CK框架的应用,详细阐述了凭证访问、发现和收集等关键技术,确保攻击者能够隐蔽、持续且高效地渗透目标系统,最终获取核心数据或控制权。文中还展示了SharpHunter等工具的自动化实现,进一步提升了操作的安全性和效率。
|
2月前
|
传感器 安全 物联网
阿里云先知安全沙龙(北京站) ——车联网安全渗透测试思路分享
本文介绍了智能汽车的整车架构、协议栈结构、攻击点分析、渗透思路及案例分享。整车架构涵盖应用层、协议层和物理层,详细解析各层次功能模块和通信机制。攻击点包括Wi-Fi、USB、NFC等,展示车辆通信接口和系统组件的安全风险。渗透思路从信息收集到系统内部探索,利用固件漏洞控制车辆功能。案例展示了网段隔离不足导致的SSH访问和OTA日志审计漏洞,揭示了潜在的安全威胁。
|
2月前
|
缓存 安全 搜索推荐
阿里云先知安全沙龙(北京站) ——浅谈Web快速打点
信息收集是网络安全中的重要环节,常用工具如Hunter、Fofa和扫描工具可帮助全面了解目标系统的网络结构与潜在漏洞。遇到默认Nginx或Tomcat 404页面时,可通过扫路径、域名模糊测试、搜索引擎缓存等手段获取更多信息。AllIN工具(GitHub: P1-Team/AllIN)能高效扫描网站路径,发现敏感信息。漏洞利用则需充分准备,以应对突发情况,确保快速拿下目标站点。 简介:信息收集与漏洞利用是网络安全的两大关键步骤。通过多种工具和技术手段,安全人员可以全面了解目标系统,发现潜在漏洞,并制定有效的防御和攻击策略。
|
2月前
|
开发框架 安全 网络安全
阿里云先知安全沙龙(杭州站) ——实网攻防中信息收集的艺术
渗透测试的核心在于信息收集,涵盖人和系统的多维度数据。实网攻防流程包括资产收集、漏洞利用、稳固据点、内网横向和控制靶标五个阶段。外网信息收集旨在全面了解目标单位的公开信息,寻找突破口;内网信息收集则聚焦网络连通性和密码凭证,确保攻击行动的有效性和针对性。整个过程强调逐步深入的信息分析,为后续攻击提供支持。
|
2月前
|
存储 安全 API
阿里云先知安全沙龙(上海站) ——红队武器开发之基于合法服务的隐蔽C2
C2(命令与控制)是攻击者远程控制受感染主机的技术。通过合法服务平台(如Slack、Telegram等)的API,攻击者可以隐蔽地传输指令和数据,避免被传统检测机制发现。合法服务具备以下优势: 1. **隐蔽性强**:流量隐藏在正常通信中,难以被检测。 2. **开发成本低**:无需自行开发服务端,减少工作量。 3. **抗封禁能力**:合法域名/IP不易被封禁,威胁情报不会标黑。 4. **团队协作**:天然支持多成员协同作战。 示例包括SaaiwC组织利用Telegram和APT29组织利用Zulip平台进行数据传输和控制。
|
2月前
|
人工智能 运维 安全
阿里云先知安全沙龙(上海站) ——终端安全对抗及防护
终端安全现状面临多重挑战,包括传统签名技术失效、新型无文件攻击频发、专业人才匮乏、分支机构安全管理不足等。企业终端覆盖不全、日志缺失、策略更新依赖厂商,导致运营排查困难。钓鱼攻击手法愈发精细,静态和动态对抗加剧,攻击者利用正常权限入侵,窃取凭据。Web3技术发展使加密货币成为新目标,职业黑客盯上个人钱包和交易公司。防护升级需涵盖预防、检测、响应和运营四个阶段,借助AI和威胁情报降低告警量,提升整体安全水平。

热门文章

最新文章