1、注入脚本的方式,危害不仅仅局限于泄露数据,会控制服务器,删除数据等
json xpath sql如果开启了user define function可以通过注入漏洞把自定义的方法写入
elasticsearch ,mongodb
2、跨站漏洞
3、csrif 漏洞: 跨站请求伪造 有个往会展A可以登陆转账给B 提交url 如果url没有做csrif保护,另外个黑客可以把请求挂在另外个页面,图片引用的地址就可以转账
浏览器有跨域策略。前端发ajax请求。浏览器有同源策略不允许发,有了跨站漏洞后
4、文件上传漏洞:09-12年 那时候上传的文件和web服务器在同一个地方,jsp asp php动态标记语言 文件生成非常大。上传上去可以危害系统 。保险上的应用,微信上传图片。黑产就上传广告页面,通过微信或者其他方式传播。
5、失效的会话管理,身份认证,访问控制不严格。A用户改了参数可以看B信息;Cookie身份的token或者手机号 admin从cookie里面拿。其他人只要改手机号就可以用其他身份登陆了。用户登出的功能不是后端做的而是前端做,就会有风险,后端就会一直有信息保留着。
6、不安全的对象直接引用。在php中表现的比较多。PHP的引用模块,require可以支持各种伪协议,前端图片可以通过base64封装成url 放到代码里。可以控制服务器。
7、错误的安全配置:最近springboot boom3开发的都是springboot或者springcloud开发 会默认开启配置可以直接追踪调试健康状况。
8、未授权的重定向和转发,sso单点登陆。一般登陆成功会退回到某个页面,return_url 如果改成其他的,通过社工发到微信群。SSO会带ticket到原来的页面,校验成功,黑客拿到了ticket就可以登陆了。
18年年底报了web x 公司初期核心网站官网 ,login账号,im以及其他网站很多是阿里 webx做的。webx在会话里面有反序列漏洞,把用户身份认证信息序列化,然后反序列化放到编码。允许对象执行,黑客可以把要执行的java类方法编译成序列化代码,再序列化成hex code二进制。各个业务部门在修复fastjson漏洞,序列化和反序列化包。只要提交json请求就可以控制服务器
前端漏洞,如果出现跨站漏洞风险很大。前后端联调时候要把后台的跨域开了,但是上线时候要把跨域关闭。
现在公司很多权限通过隐藏按钮或者隐藏url来实现的。一定在服务端和后层做。
业务安全:爬虫、自动注册机、撞库挖用户密码、短信轰炸。(差评师、催债)
调用各大网站调用该接口做轰炸或者刷单
网络层面就是ddos攻击。网络层和服务器层,比cc攻击更复杂。
ddos一种只发tcp的第一个包,服务器也会发一个包给客户端。客户端不发后面的请求。服务器会不断开启会话等待。导致tcp的栈被耗尽。sinflud
现在的ddos目标是把带宽占满。链路按照带宽收费,ddos只要把500M打满其他服务就进不来了。现在流行的ddos是ntp反射,可以伪造请求。NTP反射,1M的请求换来100M
只能依赖于阿里云或者网络服务提供商进行攻击清洗。
网友评论