老男孩教育专注IT教育10余年,只培养IT技术精英

全国免费咨询电话(渠道合作):400-609-2893

Web应用中有哪些常见的漏洞?该如何解决?渗透测试培训

老男孩IT教育

常见问题

2021年10月8日 16:33

Web应用即Client/Server服务,也就是客户端负责发送请求,服务端进行数据的处理,一般浏览器就是客户端,但发送请求的并不仅限于浏览器,对于Web应用中常见的漏洞,危害、成因是怎样的?我们又该如何解决?请看下文:

       Web应用即Client/Server服务,也就是客户端负责发送请求,服务端进行数据的处理,一般浏览器就是客户端,但发送请求的并不仅限于浏览器,对于Web应用中常见的漏洞,危害、成因是怎样的?我们又该如何解决?请看下文:

网络安全培训班

       一、XSS

       危害:1、泄露用户隐私;2、执行恶意代码;3、绕过访问控制。

       即跨站点脚本,是由于没有进行合适的过滤,导致攻击者把恶意脚本传至服务器,从而注入到网页中,其实这个并不难防御,只需要进行适当的过滤,输入过滤和输出过滤,在服务器要渲染用户输入内容时,必须进行反XSS过滤。

       二、SQL注入

       危害:1、导致数据库被拖;2、重要信息泄露;3、执行系统命令,进而控制服务器。

       之所以会发生SQL注入,主要是拼接SQL语句的问题,要预防这个漏洞,必须确保参数的值合法有效,在实际拼接SQL前,要对字段进行合法性验证,通过后再去拼接。

       三、权限绕过

       危害:1、攻击者执行未经授权的功能;2、攻击者访问其他正常用户的信息;3、攻击者越权使用高权限用户的功能。

       没有对用户身份及权限进行验证或验证功能不完善所导致的,预防方法是确保用户有权发送响应请求,解决方法:服务器给用户浏览器上cookie,同时根据cookie生成的唯一token,与cookie值一起保存在服务器或数据库中,对于敏感的操作,如发表、修改文章等,服务端要验证cookie和token的一致性。

       四、CSRF

       危害:攻击者能够欺骗受害用户完成应用允许的任一状态改变的操作。

       即跨站点请求伪造,利用受站点信任的用户发送恶意请求,预防方法是确保用户有权限发送请求,解决方法:在重要请求中的每个URL和所有的表单中加入token值,并在服务器端验证token。

       五、SSRF

       危害:1、攻击者可以利用这个漏洞,让服务器代替请求资源,尤其是内网资源;2、对内网web应用进行指纹识别;3、利用file协议读取本地文件。

       即服务端请求伪造,利用Web服务器可以访问内网窃取内网信息或攻击内网服务器。预防方法需要验证用户输入的网址,特别是网址解析后的IP地址,解决方法:解析用户提交的网址得到IP,对于短链接或代理服务生成的IP必须跟踪解析,然后屏蔽内网IP段。

       关于"Web应用中有哪些常见的漏洞?该如何解决?"的话题到这里就结束了,建议关注老男孩教育网络安全培训课程。我校网络安全培训课程经过多年教学沉淀,杜绝纸上谈兵,结合理论讲授企业实战案例,帮助更多学员成为优秀的网络安全工程师。

       推荐阅读:

       各类APP的安全监测方式都有哪些?网络安全培训

       什么是渗透测试以及它的岗位职责?渗透测试培训

       在网络安全领域中,如何发现IT安全漏洞的存在?网络安全培训

本文经授权发布,不代表老男孩教育立场。如若转载请联系原作者。