1.跨站腳本(XSS)
XSS又叫CSS(CROSS SET SCRIPT),跨站腳本攻擊。它指的是惡意攻擊者往WEB頁面裏插入惡意的html代碼,當用戶瀏覽該頁面時,嵌入其中的html代碼會被執行,從而達到惡意用戶的特殊目的;(釣魚、盜取cookie、操縱受害者的瀏覽器、蠕蟲攻擊)
2.反射型跨站(Reflected XSS)
服務器端獲取http請求中的參數,未經過濾直接輸出到客戶端。如果這些參數是腳本,它將在客戶端執行(釣魚常見)。
3.存儲型跨站(Stored XSS)
用戶輸入的數據存在服務器端(一般存在數據庫中),其他用戶訪問某個頁面時,這些數據未經過濾直接輸出。這些數據可能是惡意的腳本,對其他用戶造成危害。(掛馬常見)
在允許上傳文件的應用中,攻擊者上傳一個包含惡意代碼的html或者txt文件,用戶瀏覽這些文件執行惡意代碼;
一般的應用中上傳圖片最普遍,如果圖片中包含惡意代碼的html或者txt文件,,低版的IE直接請求這個圖片時,將忽略Content-Type執行圖片中的代碼。
4.DOM跨站(DOM-Based XSS)
攻擊者構造一個包含惡意Javascript的URL,然後引誘用戶請求這個URL。服務器收到請求後沒有返回惡意的Javascript。
瀏覽器在處理URL中的數據時,執行惡意代碼。
5.跨站請求僞造(CSRF)
強迫受害者的瀏覽器向一個易受攻擊的Web應用程序發送請求,最後達到攻擊者所需要的操作行爲。
惡意請求會帶上瀏覽器的Cookie。受攻擊的Web應用信任瀏覽器的Cookie。
6.SQL注入
用戶輸入的數據未經驗證就用來構造SQL
查詢語句,查詢數據庫中的敏感內容,繞過認證添加、刪除、修改數據、拒絕服務。
7.XML注入
和SQL注入原理一樣,XML是存儲數據的地方,如果在查詢或修改時,如果沒有做轉義,直接輸入或輸出數據,都將導致XML注入漏洞。攻擊者可以修改XML數據格式,增加新的XML節點,對數據處理流程產生影響。
8.URL跳轉
Web應用程序接收到用戶提交的URL參數後,沒有對參數做”可信任URL”的驗證,就向用戶瀏覽器返回跳轉到該URL的指令。(釣魚攻擊)
9.文件系統跨越
文件系統中../代表上級目錄,通過一個或多個../跨越目錄限制。
10.系統命令
用戶提交的參數用於執行系統命令的參數。
使用”|”或”;”執行多條命令。
11.文件上傳
Web應用程序在處理用戶上傳的文件時,沒有判斷文件的擴展名是否在允許的範圍內,或者沒檢測文件內容的合法性,就把文件保存在服務器上,甚至上傳腳本木馬到web服務器上,直接控制web服務器。(未限制擴展名、未檢查文件內容、病毒文件)
12.任意文件下載
下載附件等功能
Apache虛擬目錄指向
Java/PHP讀取文件
下載數據庫配置文件等
目錄瀏覽
13.權限控制
有沒有權限
有些系統不需要權限控制
有沒有設置權限
有了強大的權限系統,但是沒有使用
有沒有偷工減料權限
URL級別
菜單級別
14.訪問控制
水平權限
Web應用程序接收到用戶請求,修改某條數據時,沒有判斷數據的所屬人,或判斷數據所屬人時,從用戶提交的request參數(用戶可控數據)中,獲取了數據所屬人id,導致惡意攻擊者可以通過變換數據ID,或變換所屬人id,修改不屬於自己的數據。
垂直權限
由於web應用程序沒有做權限控制,或僅僅在菜單上做了權限控制,導致的惡意用戶只要猜測其他管理頁面的URL,就可以訪問或控制其他角色擁有的數據或頁面,達到權限提升目的。
15.Session Expires
會話過期
瀏覽器過期
服務器30分鐘無動作過期
服務器24小時強制過期
保持會話