Web应用中常见39种不同的安全漏洞漏洞分析及检查方法

1、Web应用中常见39种不同的安全漏洞漏洞分析及检查方法1.1 SQL注入漏洞风险等级：高危漏洞描述：SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数 据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全 风险，这就是SQL Injection ,即SQL注入漏洞。漏洞危害：1）机密数据被窃取；2）核心业务数据被篡改；3）网页被篡改；4）数据库所在服务器被攻击从而变为傀儡主机，导致局域网（内网）被入侵。修复建议：1）在网页代码中对用户输入的数据进行严格过滤；（代码层）2）部署Web应用防火墙；（设备层）3）对数据库操作进行监控。（数据库层）代码层最佳防御s

2、ql漏洞方案：采用sql语句预编译和绑定变量，是防御 sql注 入的最佳方法。原因：采用了 PreparedStatement ,就会将 sql 语句:select id, no from user where id=?”预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执 行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该 sql语句的 语法结构了，因为语法分析已经完成了，而语法分析主要是分析sqlWord文档命令，比如select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了 这些sql命令，也不会被当成sql命

3、令来执行了，因为这些sql命令的执行，必须先的通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了， 那么后面输入的参数，是绝对不可能作为 sql命令来执行的，只会被当做字符串 字面值参数，所以sql语句预编译可以防御sql注入。其他防御方式：正则过滤目录遍历漏洞风险等级：中危漏洞描述：通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准权限进行攻击。漏洞危害：黑客可获得服务器上的文件目录结构，从而下载敏感文件。修复建议：1）通过修改配置文件，去除中间件（如IIS apache、tomcat）的文件目录索引功能2）设置目录权限在每个目录下创建一个空的index.

4、html页面。跨站脚本漏洞即XSS漏洞，利用跨站脚本漏洞可以在网站中插入任意代码，它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马，甚至格式化浏览者的硬盘。Word文档漏洞危害：1）网络钓鱼，盗取管理员或用户帐号和隐私信息等；2）劫持合法用户会话，利用管理员身份进行恶意操作，篡改页面内容、进一步 渗透网站；3）网页挂马、传播跨站脚本蠕虫等；4）控制受害者机器向其他系统发起攻击。修复建议：设置 httponlyhttponly无法完全的防御xss漏洞，它只是规定了不能使用js去获取cookie的内 容，因此它只能防御利用xss进行cookie劫持的问题。Httponly是在set-

5、cookie 时标记的，可对单独某个参数标记也可对全部参数标记。由于设置httponly的方法比较简单，使用也很灵活，并且对防御 cookie劫持非常有用，因此已经渐渐 成为一种默认的标准。xss filterXss filter往往是一个文本文件，里面包含了允许被用户输入提交的字符（也有些 是包含不允许用户提交的字符）。它检测的点在于用户输入的时候，xss filter分为白名单与黑名单，推荐使用白名单，但即使使用白名单还是无法完全杜绝xss问题，并且使用不当可能会带来很高的误报率。编码转义编码方式有很多，比如html编码、url编码、16进制编码、javascript编码等。在处理用户输入

6、时，除了用xss filter的方式过滤一些敏感字符外，还需要配合编Word文档码，将一些敏感字符通过编码的方式改变原来的样子，从而不能被浏览器当成js代码执行。处理富文本有些网页编辑器允许用户提交一些自定义的html代码，称之为“富文本”。想要在富文本处防御xss漏洞，最简单有效的方式就是控制用户能使用的标签，限制为只能使用a、div等安全的标签。处理所有输出类型的xss漏洞xss漏洞本质上是一种html注入，也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。其他修复方案1）开发者应该严格按照openid和openkey的校验规则判

7、断openid和openkey是否合法，且判断其它参数的合法性，不合法不返回任何内容。2）严格限制URL参数输入值的格式，不能包含不必要的特殊字符（%0d %0a %0D、0A 等）。3）针对ASP.NET的防XSS库，Microsoft有提供统一的库，具体可以参见如下链接微软官网：msdn.microsoft./en-us/library/aa973813.aspx4）具体的js方法如下：（1）对于用户输入的参数值展现在 HTML正文中或者属性值中的情况，例如：展现在 html 正文中：.contoso.Un-trusted input展现在属性值中： 止匕时需要将红色的不可信内容中做如下的

8、转码（即将 转成html实体）：Word文档(2)对于用户输入落在的内容中的情况，例如： var mymsg=Un-trusted input; var uin=Un-trusted input; 未过滤HTML代码漏洞由于页面未过滤HTML代码，攻击者可通过精心构造XSS代码（或绕过防火墙防护策略），实现跨站脚本攻击等。可带来如下危害：1）恶意用户可以使用JavaScript、VBScript、ActiveX HTML语言甚至Flash利用应用的漏洞，从而获取其他用户信息；2）攻击者能盗取会话cookie、获取账户、模拟其他用户身份，甚至可以修改网页呈现给其他用户的内容。修复建议：1）严格过

9、滤用户输入的数据。2）参考跨站脚本漏洞修复方案数据库运行出错 网站存在数据库运行出错，由于网页数据交换出错，攻击者可获取报错中的敏感信息。可带来如下危害：1）机密数据被窃取;Word文档2）攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获取网站敏感信息；3）攻击者利用泄漏的敏感信息，获取网站服务器web路径，为进一步攻击提供 帮助。修复建议：1）检查数据库缓存是否溢出，是否具有失效的配置管理、禁用一切不必要的功能；2）对网站错误信息进行统一返回，模糊化处理。Flash安全配置缺陷漏洞网站存在Flash安全配置缺陷，该漏洞可导致跨域访问，让用户访问非法 Flash 文件

10、。allowScriptAccess：是否允许flash访问浏览器脚本。如果不对不信任的flash 限制，默认会允许调用浏览器脚本，产生XSS漏洞。always （默认值）, 总是允许； sameDomain , 同域允许； never, 不允许allowNetworking :是否允许flash访问ActionScript中的网络 API。如果不对不信任的flash限制，会带来flash弹窗、CSRF等问题。all,允许所有功能，会带来flash弹窗危害；internal ,可以向外发送请求/加载网页；none,无法进行任何网络相关动作（业务正常功能可能无法使用）可带来如下危害：网站的Fla

11、sh配置文件crossdomain.xml配置不当，存在Flash跨域攻击安全隐患。修复建议：Word文档1）修改flash安全策略，做严格限制，比如限制到网站当前域；找至U相应目录下的 crossdomain.xml文件， 找至U代码： cross-domain-policy allow-access-fromdomain=* cross-domain-policy 改成：cross-domain-policy allow-access-from domain=改成你的网站地址 cross-domain-policy 。FCK编辑器泄露漏洞漏洞描述利用此漏洞攻击者可访问编辑器页面，上传图片。

12、漏洞危害1）由于网站编辑器没有对管理员登录进行校验，导致任意用户访问编辑器；2）利用编辑器漏洞查看网站全硬盘目录。修复建议对编辑器页面进行访问控制，禁止未授权访问，并升级 fck编辑器版本。FCKeditor任意文件上传漏洞FCKeditor版本低于或等于2.4.3时网站存在任意文件上传漏洞，可以利用该漏洞 上传任意文件。可带来如下危害：1）由于目标网站未做上传格式的限制，导致网站、数据库和服务器有被入侵的风险；2）可能导致网站被攻击者控制，网站数据被窃取、网页被篡改等。修复建议：Word文档1）设置FCKedgr编辑器相关页面在未授权的前提下无法正常访问，和限制FCK 上传文件的格式；2）下

13、载并更新至FCKeditor的最新版本。URL Redirect 漏洞即URL重定向漏洞，通过将URL修改为指向恶意站点，攻击者可以成功发起网 络钓鱼诈骗并窃取用户凭证。可带来如下危害：Web应用程序执行指向外部站点的重定向；2）攻击者可能会使用 Web服务器攻击其他站点，这将增加匿名性。修复建议：1）在网页代码中需要对用户输入的数据进行严格过滤；（代码层）2）部署Web应用防火墙。（设备层）1.10文件上传漏洞网站存在任意文件上传漏洞，文件上传功能没有进行格式限制，容易被黑客利用 上传恶意脚本文件。可带来如下危害：攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威胁；攻击者可上

14、传可执行的 WebShell （如php、jsp、asp类型的木马病毒），或者利用目录跳转上传gif、html、config文件，覆盖原有的系统文件，到达获 取系统权限的目的。Word文档修复建议：对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件；设置权限限制，禁止上传目录的执行权限；严格限制可上传的文件类型；严格限制上传的文件路径。文件扩展名服务端白名单校验。文件内容服务端校验。上传文件重命名。隐藏上传文件路径。后台弱口令漏洞网站管理后台用户名密码较为简单或为默认，易被黑客利用。可带来如下危害：1）攻击者利用弱口令登录网站管理后台，可任意增删文章等造成负面影响；2）攻击者可进一步查

15、看网站信息，获取服务器权限，导致局域网（内网）被入侵。修复建议：1）对管理后台进行访问控制，修改后台弱口令，加强口令强度并定期修改。2）增加验证机制，防爆破机制，限制ip + cookie访问次数。敏感信息泄漏由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。可带来如下危害：Word文档攻击者可直接下载用户的相关信息，包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、QQ号等；攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获取网站敏感信息；攻击者利用泄漏的敏感信息，获取网站服务器 web路径，为进一步攻击提供帮助。修

16、复建议：对网站错误信息进行统一返回，模糊化处理；对存放敏感信息的文件进行加密并妥善储存，避免泄漏敏感信息。未加密登录请求漏洞网站对用户登录认证信息未进行加密， 敏感信息以明文形式进行传送，易在传输过程中被获取。可带来如下危害：易造成用户敏感信息泄露与篡改。修复建议：建议通过加密连接（如SSD方式进行敏感信息的传送。后台口令暴力破解由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被暴力破解。可带来如下危害：攻击者可利用该漏洞无限次提交用户名密码，从而可以暴力破解后台用户名及密码；Word文档暴力破解后登录其中一个帐号可进管理后台， 攻击者登录网站后台任意增删文章等造成负面影响；攻击者可

17、进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器权限，导致局域网（内网）被入侵。修复建议：对该页面进行访问控制，禁止外网IP或非法IP访问后台页面，并增加验证码校验，加强帐号锁定机制。增加ip+cookie配置方式限制访问频率。跨站请求伪造跨站请求伪造，即CSRF攻击者通过伪造来自受信任用户的请求，达到增加、 删除、篡改网站内容的目的。可带来的危害：攻击者冒充用户/管理员，伪造请求，进行篡改、转帐、改密码、发邮件等非法 操作。修复建议：1）过滤用户输入，不允许发布含有站内操作 URL的链接；2）改良站内API的设计，关键操作使用验证码，只接受POST请求，GET请求 应该只浏览而不改变

18、服务器端资源；3）对于web站点，将持久化的授权方法（例如 cookie或者HTTP授权）切换 为瞬时的授权方法（在每个form中提供隐藏field）;4）在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。Word文档服务端的防御：验证 HTTP Referer字段。请求地址中添加token并验证（token不放在cookie中，放在http请求参数中，服务端对其进行验证）3）将token加入http头属性中，避免了 token出现在浏览器中，被泄露。客户端防御：为了配合服务端对token的验证，那么客户端也需要在访问时生成 token ,这是 利用js来给html中的链

19、接和表单请求地址附加 csrftoken代码，其中已定义 token为全局变量，其值可以从 session中得到。Unicode 编码转换漏洞漏洞等级：中危该漏洞由于Unicode在编码转换过程中会忽略某些字符，导致攻击者可插入该字符绕过安全设备的检测。可带来如下危害：黑客可通过插入特殊字符，可拆分攻击的关键词，绕过安全设备的检测。修复建议：1）修改中间件，过滤特殊字符。2）部署Web应用防火墙Possible .Net Error Message漏洞等级：中危Word文档网站存在.net报错信息，由于网站未配置统一错误返回页面，导致 aspx出错并显示出错误信息。可带来如下危害：黑客可通过特

20、殊的攻击向量，有可能泄漏如绝对路径、源代码、sql语句等敏感信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复建议：关闭PHP错误回显，或修正代码。发生内部错误漏洞描述500 Internal Server Error。漏洞危害攻击者向服务器提交精心构造的恶意数据后，有可能导致服务器出现内部错误、服务器宕机或数据库错乱。修复建议1）严格过滤用户输入的数据。2）服务器错误统一模糊处理，或者跳转到首页/ 404页面。SVN源代码泄漏由于目标网站没有及时清除SVN服务器连接时的残留信息，导致存在此漏洞。可带来如下危害：攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；Wor

21、d文档攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统。修复建议：删除指定SVN生成的各种文件，如7.svn/entries”等。1.20旁站攻击漏洞多家网站在同一台服务器上，因一个网站存在致命高危漏洞，导致整台服务器被入侵。可带来如下危害：服务器上的所有网站均可被获得控制权限，攻击者可利用该漏洞登录网站后台任意增删文章等造成负面影响；攻击者可通过旁站服务器漏洞进入网站内网对其他服务器进行进一步攻击。修复建议：修补同一台服务器上的其他网站漏洞；建议每个网站单独服务器运行。1.21后台登录页面绕过越权操作，可直接通过访问后台地址进行访问，绕过登陆限制。可带来如下危害：一旦入侵者发现后台u

22、rl,便可进入后台页面，进行非法操作。修复建议：对后台所有url做好权限设置。禁止外网访问后台地址。Word文档CVS信息泄漏漏洞描述由于目标网站没有及时清除CVS服务器连接时的残留信息，导致存在此漏洞。漏洞测试访问/cvs/等页面，若出现下图内容，则表示存在此漏洞。前面是用户名后面是服务器地址漏洞危害1）攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；2）攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统。修复建议删除指定CVS生成的各种文件，如“/CVS/Root”等。Possible PHP Error Message网站存在Possible PHP Error

23、 Message,由于网站未配置统一错误返回页面，导致PHP出错并显示出错误信息可带来如下危害：黑客可通过特殊的攻击向量，有可能泄漏如绝对路径、源代码、sql语句等敏感信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复建议：关闭PHP错误回显，或修正代码。Word文档HPP 漏洞漏洞描述即http参数污染，它是web容器处理http参数时的问题。比如访问URL:.xxx./index.php?str=hello 此时，页面显示 hello。但如果访问:.xxx./index.php?str=hello&str=world&str=nmask 止匕时，页面显示 nmask, 把前面参数的

24、值给覆盖了，这就是 http参数污染。可带来的危害：用来绕过WAF修复建议：修改web容器处理机制File Operation-Web.xml 漏洞攻击者可以通过文件内容泄漏漏洞（或文件包含漏洞）获取敏感文件的内容，或直接执行其指定的恶意脚本，进得 Web服务器的控制权限。可带来如下危害：1）文件内容泄漏漏洞（或文件包含漏洞）允许攻击者读取服务器中的任意文件， 或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。2）很多脚本语言允许通过特殊的指令（如PHP通过require关键字）将其他脚本源码文件的内容合并至当前的文件中执行，如果这些特殊的指令在包含的文件路径中含有用户提交的数据，则

25、恶意攻击者就有可能通过构造特殊的数据将 WEB 服务器限制访问的文件内容（如操作系统或某些重要应用的配置文件）包含进来 并通过浏览器获取其内容，这种方式通常称为本地文件包含；如果应用程序的配Word文档 置还允许包含远程的其他服务器上的文件，恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行，进而获取 WEB应用的敏感数据或控制权。修复建议：1）如果可能，使用包含指令时显式指定包含的文件名称；2）如果必须通过用户的输入指定包含的文件，则最好分析用户的输入，然后从文件白名单中显式地选择；3）请对用户的输入进行严格的过滤，确保其包含的文件在预定的目录中或不能 包含URL参数。短文件名泄漏漏洞漏

26、洞等级：中危漏洞描述该漏洞由于Windows处理较长文件名时为方便使用较短的文件名代替，攻击者可利用该漏洞尝试获取网站服务器下的文件名。漏洞危害黑客可通过该漏洞尝试获取网站服务器下存放文件的文件名，达到获取更多信息 来入侵服务器的目的。修复建议1）修改Windows配置，关闭短文件名功能。2）部署Web应用防火墙，防止攻击者批量尝试。OS注入漏洞风险等级：高危Word文档漏洞描述:网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，允许用户能够提交系统命令操作，会导致攻击者能控制整个服务器。漏洞危害：攻击者可以执行任意操作系统命令，进行恶意攻击；修复建议：1）禁止调用系统问题；2）部

27、署Web应用防火墙；3）过滤用户输入；SOAP注入漏洞风险等级：高危漏洞描述：用户提交的数据直接插入到SOAP消息中，攻击者可以破坏消息的结构，从而实现SOAP注入。漏洞危害：攻击者可以改变应用程序的逻辑，修改数据。修复建议：在用户提交的数据被插入SOAP消息的实施边界进行过滤XPATH注入漏洞风险等级：高危漏洞描述：Word文档 网站使用XPath访问数据，响应用户提交的输入。如果用户的输入未经过过滤就插入到XPath的查询中，攻击者就可以通过控制查询语句来破坏应用程序，或者获取未授权访问的数据。漏洞危害：攻击者可以改变应用程序的逻辑，修改数据。修复建议：1）在网页代码中对用户输入的数据进行

28、严格过滤；2）部署Web应用防火墙；、SMTP注入漏洞风险等级：高危漏洞描述：在电子邮件功能中，攻击者可在会话中注入任意 SMTP命令，完全控制应用程序 的消息。漏洞危害：篡改用户的邮件内容修复建议：1）在客户端代码中对用户输入的数据进行严格过滤；2）部署Web应用防火墙；LDAP注入漏洞风险等级：高危漏洞描述：Word文档LDAP是一种轻量级目录访问协议，可以用来保存信息。如果在查询语句中插入恶意代码，可以修改返回的结果漏洞危害：机密数据被窃取；修复建议：1）在查询中对用户输入的数据进行严格过滤；2）部署Web应用防火墙；命令执行漏洞风险等级：高危漏洞描述：命令执行漏洞是指代码未对用户可控参

29、数做过滤，导致直接带入执行命令的代码中，对恶意构造的语句，可被用来执行任意命令。漏洞危害：黑客可在服务器上执行任意命令，写入后门，从而入侵服务器，获取服务器的管理员权限，危害巨大。修复建议：严格过滤用户输入的数据，禁止执行系统命令HTTP消息头注入漏洞漏洞描述：Word文档用户控制的数据以不安全的方式插入到应用程序返回的HTTP消息头中，如果攻击者能够在消息头中注入换行符，就能在响应中插入其他HTTP消息头，并在响应主体中写入任意内容。漏洞检测：通过修改参数来判断是否存在漏洞。比如国内某著名网站曾经出现过header注入漏洞，如下url ： .YYYYYYYYY./YYYYWeb/jsp/we

30、bsite/agentInvoke.jsp?agentid=%0D%0AX-foo :%20bar抓包时发现:HTTP/1.1 302 Found Date： Ft 16 Apr 2010 01 :i8:03 GHT Serveri kpache/2.0.6-1 (Unix) Surrogate-Control: nD-score Location： httpi/vvu-.一伪造的header5et-CooKie: agenLidv-Ekr士rum： Thu, 01 Dec 199丐 16:0000 GHTCache-Gout to 1; ng-GftGlw*3et-cQqk ic ? set

31、-otkie2*小木人印象Kctp-Mklvt 3 Z imeOut* 15Connect la n; Kitcp-XXivcCchcent-Ty)e i text/ htin 1;chacset*GBKConsent-漏洞危害: 利用HTTP消息头注入漏洞可以控制用户访问页面的返回结果，执行恶意代码修复建议：不要把用户控制的输入插入到应用程序返回的HTTP消息头中；部署Web应用防火墙。在设置HTTP响应头的代码中，过滤回车换行(%0d%0a %0D%0呼符Word文档不采用有漏洞版本的apache服务器，同时对参数做合法性校验以及长度限制，谨慎的根据用户所传入参数做 http返回包的hea

32、der设置。验证机制缺陷漏洞风险等级：中危漏洞描述：由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被暴力破解。漏洞危害：攻击者可利用该漏洞无限次提交用户名密码，从而可以暴力破解后台用户名及密码；暴力破解后登录其中一个帐号可进管理后台，攻击者登录网站后台任意增删文章等造成负面影响；攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器权限，导致局域网(内网)被入侵。修复建议：对该页面进行访问控制，禁止外网IP或非法IP访问后台页面，并增加验证码校验，加强帐号锁定机制。文件包含漏洞漏洞描述：文件包含漏洞多数情况出现在 PHP中，当然jsp中也存在，文件包含分为本地包含与远程包含。漏洞危害：Word文档绕过WAF上传木马文件加载有害的远程内容，影响程序运行。漏洞修复：关闭 allow_url_fopen避免使用include参数使用web检测文件内容1.36 Elasticsearch未授权访问漏洞漏洞描述elasticsearch是一款java编写的企业级搜索服务，启动此服务默认会开放9200端口，可被非法操作数据。漏洞检测检测：默认端口 9200相当于一个API,任何人访问这个地址