根据您的经验,您发现、处理或遇到过哪些站点漏洞?您采取了哪些措施来缓解这些问题?
这可能包括 XSS(跨站点脚本)、SQL 注入(inject)攻击、普通的旧式 DDOS 或针对您网站客户的网络钓鱼尝试。就在昨天,我看到了 Firefox 工具的整个部分,用于审核网站及其潜在的各种漏洞。
希望扩展我在该领域的知识以担任角色,因此阅读或学习更多信息总是好的 - 可靠的链接也很受欢迎!以及您发现的最糟糕的 war 故事或您见过的最可怕的洞 - 从经验中学习有时是最好的方法!
最佳答案
我已经为数十(数百?)个应用程序和站点进行了白盒和黑盒安全审查。
XSS 和 SQL 注入(inject)受到了很多媒体的关注,但知道我发现最常见的安全漏洞是什么吗?在生产代码中保留调试和测试功能。通过篡改 POST 参数 (isDebug=True) 或通过爬取站点并查找剩余页面,这些是我在安全方面看到的最严重的错误。如果您要包含测试/调试代码,请将其放在单独的代码分支中,或者至少准备一份 list 以便在发布前删除。
我见过的下一个最常见的漏洞就是通过从页面源获取 URL 来绕过安全机制的能力。技术名称是“Forceful Navigation”或“Forced Browsing” 这是任何可以阅读 HTML 的人都可以做的事情,但我对易受攻击的应用程序的多样性感到惊讶。昨天看了一个购票网站,用这个方法可以买到满座的演出票。在以前的网站上,我可以完全跳过支付(许多 Paypal 网站通过 POST 参数将“购买完成”URL 传递给 paypal - yoink!)。您需要某种后端状态或检查以确保完成、付款、可用性、准确性等。
坦率地说,我通常让 AppScan、BURP 代理、WebScarab、Fortify、FindBugs 或 YASCA(取决于预算和源代码可访问性)等工具为我查找 XSS 和 SQL 注入(inject)攻击。我会自己尝试简单的东西,寻找明显的漏洞,但是已知的组合太多了,无法自己尝试。我为更高级或最近发现的缺陷保留了一小部分脚本和测试用例。
我将在 3 点停下来,因为我真的可以继续一整天,我正在从你的问题中失去注意力,没有人愿意阅读一大堆文字。
一些新的和经验丰富的网络安全专家的资源: (啊。我还不能正式发布链接。复制/粘贴。抱歉)
开放 Web 应用程序安全项目 (OWASP)
网络安全测试指南
本书是为审计人员、测试人员编写的,而不是为开发人员编写的。这对于 O'Reilly 的书来说是很不寻常的。
websecuritytesting.com
Fortify 的漏洞分类
www.fortify.com/vulncat/
常见弱点列举(警告:广泛)
nvd.nist.gov/cwe.cfm
常见攻击模式枚举和分类(警告:范围更广)
capec.mitre.org/
Google 的网络安全教程
(相当虚弱)
code.google.com/edu/security/index.html
关于xss - 网络安全测试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1722160/