根據您的經驗,您發現,處理或遇到了哪些網站漏洞?你採取了什麼行動來緩解這些問題?網絡安全測試
這可能包括XSS(跨站點腳本),SQL注入攻擊,普通的舊DDOS或網站仿冒企圖在您的網站的客戶。就在昨天,我遇到了一整段Firefox工具,用於審覈網站及其潛在的各種漏洞。
爲了擴大我在這個領域的知識,讓更多的信息閱讀或學習總是很好 - 固體鏈接也讚賞!而且你發現的最糟糕的戰爭故事或你見過的最可怕的洞 - 從經驗中學習是有時候最好的方式!
我已經爲幾十(幾百?)個應用程序和網站完成了安全審查,白盒和黑盒。
XSS和SQL注入獲得大量的新聞,但知道我發現最常見的安全缺陷是什麼?在生產代碼中保留調試和測試功能。無論是通過篡改POST參數(isDebug = True)還是通過抓取網站並找到剩餘頁面,這些都是我在安全性方面遇到的最糟糕的錯誤。如果您包含測試/調試代碼,請將其放在單獨的代碼分支中,或者至少在啓動之前準備一個清單以供刪除。
我見過的下一個最常見的漏洞就是通過抓取頁面源URL來繞過安全機制的能力。技術名稱是'強制導航'或'強制瀏覽'這是任何可以閱讀HTML的人都可以完成的事情,但我對易受攻擊的各種應用程序感到驚訝。昨天回顧了購票網站,我能夠使用這種方法購買售罄節目的門票。在以前的網站上,我完全可以跳過付費(許多Paypal網站通過POST參數將「購買完整」網址傳遞給paypal) - yoink!)。您需要某種後端狀態或檢查以確保完成,付款,可用性,準確性等。
坦率地說,我通常會讓像AppScan,BURP代理,WebScarab,Fortify,FindBugs或YASCA (取決於預算和源代碼的可訪問性)爲我找到XSS和SQL注入攻擊。我會自己嘗試簡單的東西,尋找明顯的漏洞,但是有太多已知的組合來嘗試自己。我保留一小部分腳本和測試用例,以查找更高級或最近發現的缺陷。
我會停在3點,因爲我真的可以一整天都去,我失去了焦點從你的問題,沒有人想讀牆上的文字。
一些新的和經驗豐富的網絡安全大師的資源: (ARGH。我還不能正式發佈鏈接,複製/粘貼。對不起)
開放Web應用安全項目(OWASP)
Web安全測試食譜
這本書是爲審計人員,測試人員,而較少用於開發人員編寫的。 O'Reilly的書很不尋常。
websecuritytesting.com
漏洞分類由Fortify的
www.fortify.com/vulncat/
常見的弱點枚舉(警告:廣)
nvd.nist .gov/cwe.cfm
常見的攻擊模式枚舉和分類(警告:更廣泛的)
capec.mitre.org/
谷歌的Web安全教程
(很弱)
代碼。 google.com/edu/security/index.html
我加入了一個包含文檔庫的web應用程序項目。它引用文檔的方式類似http://example.com/getdocument?file=somefile.pdf。當然,我只需要嘗試file =/etc/passwd,當然它工作。
解決方案:執行用戶輸入清理和/或在URL和實際文件系統資源中請求的資源之間使用某種抽象級別。
這是SQL注入攻擊的表親。檢查任何允許的請求,可疑的看起來會給客戶太多的控制權。