案例:萬(wàn)達(dá)電影主站 xss + csrf
A10: 無(wú)效的重定向
控制重定向可以釣魚,可以獲取敏感文件的信息,在struts2中也有開放重定向的命令執(zhí)行
0x03 烏云TOP 10 簡(jiǎn)單介紹
上述就是OWASP TOP10的WEB漏洞,烏云出了一個(gè)更加符合中國(guó)國(guó)情的 烏云:Top10 for 2014,看著也是觸目驚心
A1-互聯(lián)網(wǎng)泄密事件/撞庫(kù)攻擊
本質(zhì)上來(lái)說是使用了不安全的口令,也許我可以將自己的密碼設(shè)置的很復(fù)雜,別人破解不出來(lái)。但對(duì)于撞庫(kù)攻擊而言,可以說是不怕神一樣的對(duì)手,就怕豬一樣的隊(duì)友。我們注冊(cè)使用的網(wǎng)站或服務(wù)商他們保存了我們使用的密碼,而很多時(shí)候被泄露出去了我們并不知道。這也是考驗(yàn)我們密碼習(xí)慣的時(shí)候了,強(qiáng)密碼+不同的密碼,當(dāng)然密碼多了也難以記住,不行就借助軟件或者普通賬號(hào)用同一個(gè)密碼,重要賬號(hào)用不同密碼吧
A2-引用不安全的第三方應(yīng)用
舉的例子是heart bleed漏洞使用的openssl,另外struts2的漏洞也還數(shù)見不鮮,其次就是CMS如wordpress使用的插件,當(dāng)然shellshock也會(huì)有很多中槍的
A3-系統(tǒng)錯(cuò)誤/邏輯缺陷帶來(lái)的暴力猜解
暴力破解:沒對(duì)請(qǐng)求和錯(cuò)誤次數(shù)做限制;重放攻擊同樣是沒做檢驗(yàn)或限制
A4-敏感信息/配置信息泄露
包括但不限于目錄遍歷、日志、配置文件、svn目錄、github或其他博客等地方
A5-應(yīng)用錯(cuò)誤配置/默認(rèn)配置
包括但不限于默認(rèn)路徑、默認(rèn)口令、目錄穿越、任意文件下載等
A6-SQL注入漏洞
A7-XSS跨站腳本攻擊/CSRF
A8-未授權(quán)訪問/權(quán)限繞過
可匿名訪問\判斷referer值后免登陸
A9-賬戶體系控制不嚴(yán)/越權(quán)操作
A10-內(nèi)部重要資料/文檔外泄
還是信息泄露,但是做了區(qū)分,不同于應(yīng)用或服務(wù)器的信息泄露,專指內(nèi)部信息泄露喲
0x04 非主流的WEB漏洞
實(shí)際上,如果要挖漏洞或者做測(cè)試,從烏云上找案例會(huì)比較方便,除了常見的幾類代碼層面的問題,更多的是配置不當(dāng)方面的,最終歸結(jié)到信息安全鏈上最脆弱的還是人本身
除了上面提到的這些,其實(shí)還有很多的漏洞啊,跟設(shè)備有關(guān)系的就先不說了,再提一下兩個(gè)看起來(lái)不錯(cuò)的:XXE、SSRF(or XSPA)
XXE:XML外部實(shí)體注入,不僅僅是敏感信息泄露,騰訊安全中心:XXE漏洞攻防
案例:
1. 烏云:百度某功能XML實(shí)體注入
2. 烏云:139郵箱XXE漏洞可讀取文件
3. 烏云:從開源中國(guó)的某XXE漏洞到主站shell
SSRF(服務(wù)端請(qǐng)求偽造): 據(jù)說用這招可以成功多次進(jìn)入阿里、騰訊、百度等的內(nèi)網(wǎng),沒爆出來(lái)的估計(jì)很多被用作殺器了
案例:
1. 烏云:百度貼吧SSRF
2. 烏云:新浪SSRF
3. 烏云:阿里巴巴SSRF
上面幾個(gè)案例有的是分享功能,有的是其他功能,共同點(diǎn)在于都是跟的url參數(shù),且沒做限制,導(dǎo)致內(nèi)網(wǎng)信息泄露
(未完...)