日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
你不知道這10個Web安全漏洞,就別說自己是黑客

 OWASP或Open Web Security Project是一家非營利性慈善組織,致力于提高軟件和Web應(yīng)用程序的安全性。

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供普陀網(wǎng)站建設(shè)、普陀做網(wǎng)站、普陀網(wǎng)站設(shè)計、普陀網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、普陀企業(yè)網(wǎng)站模板建站服務(wù),十載普陀做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

  • 該組織根據(jù)來自各種安全組織的數(shù)據(jù)發(fā)布頂級Web安全漏洞列表。
  • 根據(jù)可利用性,可檢測性和對軟件的影響,Web安全漏洞具有優(yōu)先級。
  • 可開發(fā)性 -
  • 利用安全漏洞需要什么?當(dāng)攻擊僅需要Web瀏覽器且最低級別是高級編程和工具時,可攻擊性最高。
  • 可檢測性 -
  • 檢測威脅有多容易?最高的是顯示在URL,表單或錯誤消息上的信息,最低的是源代碼。
  • 影響或損壞 -
  • 如果安全漏洞暴露或受到攻擊,將會造成多大的破壞?最高的是完整的系統(tǒng)崩潰,最低的是什么都沒有。

OWASP Top 10的主要目標(biāo)是向開發(fā)人員,設(shè)計人員,經(jīng)理,架構(gòu)師和組織介紹最重要的安全漏洞。

你不知道這10個Web安全漏洞,就別說自己是黑客

根據(jù)OWASP Top 10,十大安全漏洞是:

  • SQL Injection(SQL注入)
  • Cross Site Scripting(xss跨站腳本)
  • Broken Authentication and Session Management(身份驗證和會話管理中斷)
  • Insecure Direct Object References(不安全的直接對象引用)
  • Cross Site Request Forgery(跨站點請求偽造)
  • Security Misconfiguration(安全配置錯誤)
  • Insecure Cryptographic Storage(不安全的加密存儲)
  • Failure to restrict URL Access(無法限制URL訪問)
  • Insufficient Transport Layer Protection(傳輸層保護(hù)不足)
  • Unvalidated Redirects and Forwards(未經(jīng)驗證的重定向和轉(zhuǎn)發(fā))

SQL注入

描述

SQL注入是一個安全漏洞,允許攻擊者通過操縱用戶提供的數(shù)據(jù)來更改后端SQL語句。

當(dāng)用戶輸入作為命令或查詢的一部分被發(fā)送到解釋器并且欺騙解釋器執(zhí)行非預(yù)期的命令并且允許訪問未授權(quán)的數(shù)據(jù)時,發(fā)生注入。

由Web應(yīng)用程序執(zhí)行時的SQL命令也可以公開后端數(shù)據(jù)庫。

意義

  • 攻擊者可以將惡意內(nèi)容注入易受攻擊的字段。
  • 可以從數(shù)據(jù)庫中讀取敏感數(shù)據(jù),如用戶名,密碼等。
  • 可以修改數(shù)據(jù)庫數(shù)據(jù)(插入/更新/刪除)。
  • 管理操作可以在數(shù)據(jù)庫上執(zhí)行

易受攻擊的對象

  • 輸入字段
  • 與數(shù)據(jù)庫交互的URL。

例子:

  • 登錄頁面上的SQL注入

在沒有有效憑據(jù)的情況下登錄應(yīng)用程序。

有效的userName可用,密碼不可用。

測試網(wǎng)址:http://demo.testfire.net/default.aspx

用戶名:sjones

密碼:1 = 1'或pass123

創(chuàng)建SQL查詢并將其發(fā)送到Interpreter,如下所示

SELECT * FROM Users WHERE User_Name = sjones AND Password = 1 = 1'或pass123;

建議

  1. 白名單列出輸入字段
  2. 避免顯示對攻擊者有用的詳細(xì)錯誤消息。

xss跨站腳本

描述

Cross Site Scripting也簡稱為XSS。

XSS漏洞針對嵌入在客戶端(即用戶瀏覽器而不是服務(wù)器端)的頁面中嵌入的腳本。當(dāng)應(yīng)用程序獲取不受信任的數(shù)據(jù)并將其發(fā)送到Web瀏覽器而未經(jīng)適當(dāng)驗證時,可能會出現(xiàn)這些缺陷。

在這種情況下受害者瀏覽器,攻擊者可以使用XSS對用戶執(zhí)行惡意腳本。由于瀏覽器無法知道腳本是否可靠,腳本將被執(zhí)行,攻擊者可以劫持會話cookie,破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻讲恍枰膼阂饩W(wǎng)站。

XSS是一種攻擊,允許攻擊者在受害者的瀏覽器上執(zhí)行腳本。

意義:

  • 利用此安全漏洞,攻擊者可以將腳本注入應(yīng)用程序,可以竊取會話cookie,破壞網(wǎng)站,并可以在受害者的計算機(jī)上運行惡意軟件。

易受攻擊的對象

  • 輸入字段
  • 網(wǎng)址

例子

1. http://www.vulnerablesite.com/home?" < script > alert(" xss")

上述腳本在瀏覽器上運行時,如果站點易受XSS攻擊,將顯示一個消息框。

如果攻擊者想要顯示或存儲會話cookie,則可以進(jìn)行更嚴(yán)重的攻擊。

2. http://demo.testfire.net/search.aspx?txtSearch