案例:萬達電影主站 xss + csrf
A10: 無效的重定向
控制重定向可以釣魚,可以獲取敏感文件的信息,在struts2中也有開放重定向的命令執行
0x03 烏云TOP 10 簡單介紹
上述就是OWASP TOP10的WEB漏洞,烏云出了一個更加符合中國國情的 烏云:Top10 for 2014,看著也是觸目驚心
A1-互聯網泄密事件/撞庫攻擊
本質上來說是使用了不安全的口令,也許我可以將自己的密碼設置的很復雜,別人破解不出來。但對于撞庫攻擊而言,可以說是不怕神一樣的對手,就怕豬一樣的隊友。我們注冊使用的網站或服務商他們保存了我們使用的密碼,而很多時候被泄露出去了我們并不知道。這也是考驗我們密碼習慣的時候了,強密碼+不同的密碼,當然密碼多了也難以記住,不行就借助軟件或者普通賬號用同一個密碼,重要賬號用不同密碼吧
A2-引用不安全的第三方應用
舉的例子是heart bleed漏洞使用的openssl,另外struts2的漏洞也還數見不鮮,其次就是CMS如wordpress使用的插件,當然shellshock也會有很多中槍的
A3-系統錯誤/邏輯缺陷帶來的暴力猜解
暴力破解:沒對請求和錯誤次數做限制;重放攻擊同樣是沒做檢驗或限制
A4-敏感信息/配置信息泄露
包括但不限于目錄遍歷、日志、配置文件、svn目錄、github或其他博客等地方
A5-應用錯誤配置/默認配置
包括但不限于默認路徑、默認口令、目錄穿越、任意文件下載等
A6-SQL注入漏洞
A7-XSS跨站腳本攻擊/CSRF
A8-未授權訪問/權限繞過
可匿名訪問\判斷referer值后免登陸
A9-賬戶體系控制不嚴/越權操作
A10-內部重要資料/文檔外泄
還是信息泄露,但是做了區分,不同于應用或服務器的信息泄露,專指內部信息泄露喲
0x04 非主流的WEB漏洞
實際上,如果要挖漏洞或者做測試,從烏云上找案例會比較方便,除了常見的幾類代碼層面的問題,更多的是配置不當方面的,最終歸結到信息安全鏈上最脆弱的還是人本身
除了上面提到的這些,其實還有很多的漏洞啊,跟設備有關系的就先不說了,再提一下兩個看起來不錯的:XXE、SSRF(or XSPA)
XXE:XML外部實體注入,不僅僅是敏感信息泄露,騰訊安全中心:XXE漏洞攻防
案例:
1. 烏云:百度某功能XML實體注入
2. 烏云:139郵箱XXE漏洞可讀取文件
3. 烏云:從開源中國的某XXE漏洞到主站shell
SSRF(服務端請求偽造): 據說用這招可以成功多次進入阿里、騰訊、百度等的內網,沒爆出來的估計很多被用作殺器了
案例:
1. 烏云:百度貼吧SSRF
2. 烏云:新浪SSRF
3. 烏云:阿里巴巴SSRF
上面幾個案例有的是分享功能,有的是其他功能,共同點在于都是跟的url參數,且沒做限制,導致內網信息泄露
(未完...)