2019獨角獸企業(yè)重金招聘Python工程師標準>>>

一般絕大部分的web應(yīng)用攻擊都是沒特定目標的大范圍漏洞掃描，只有少數(shù)攻擊確實是為入侵特定目標而進行的針對性嘗試。這兩種攻擊都非常頻繁，難以準確檢測出來，許多網(wǎng)站的web應(yīng)用防火墻都無法保證能夠有效運行。有一些被忽略的安全錯誤可能會威脅到web應(yīng)用的安全。

存在的SQL注入漏洞 SQL注入依然還活躍著，安全監(jiān)控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最普遍的Web攻擊方式，占該公司客戶報告事件的55%。不要存僥幸心理覺得SQL注入已經(jīng)不存在了。 不安全的反序列話 反序列化過程就是應(yīng)用接受序列化對象并將其還原的過程。如果序列化過程不安全，可能會出現(xiàn)大問題。Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速抬頭，2017年最后3個月里增長了300%，可能是受非法加密貨幣挖礦活動的驅(qū)動。 該不安全性可輕易導致Web應(yīng)用暴露在遠程代碼執(zhí)行的威脅之下——攻擊者戰(zhàn)術(shù)手冊中排名第二的攻擊技術(shù)。開放Web應(yīng)用安全計劃(OWASP)去年將不安全反序列化納入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢？最鮮明的例子就是Equifax大規(guī)模數(shù)據(jù)泄露事件——據(jù)稱就是應(yīng)用不安全反序列化漏洞發(fā)起的。 未使用內(nèi)容安全策略組織跨站腳本 XSS是往帶漏洞web應(yīng)用中出入惡意代碼的常見手段。XSS的目標不是web應(yīng)用，而是使用web應(yīng)用的用戶。組織XSS最有效的方法是使用內(nèi)容安全策略（CSP），這一技術(shù)發(fā)展良好但仍未被大多數(shù)網(wǎng)站采納。

信息泄漏，50%的應(yīng)用都有某種信息泄露漏洞。這些漏洞會將有關(guān)應(yīng)用本身、應(yīng)用所處環(huán)境或應(yīng)用用戶的信息暴露給黑客，供黑客進行進一步的攻擊。信息泄漏可以是用戶名/口令泄漏，也可以是軟件版本號暴露。通常重新配置一下就能堵上漏洞，但緩解過程卻往往視泄漏數(shù)據(jù)的種類耳釘。問題在于，即便是軟件版本號泄漏了，也能夠給黑客帶來攻擊上的優(yōu)勢。

轉(zhuǎn)載于:https://my.oschina.net/u/3778504/blog/1861495

總結(jié)

以上是生活随笔為你收集整理的威胁web应用安全的错误的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。