在你的经验,你有没有发现什么工作上,或者遭遇的条款的网站漏洞?和什么动作你有没有采取减轻这些问题?

这可以包括XSS(跨站脚本)、SQL注射攻击,普通老DDOS或网络钓鱼尝试在您的网站的客户。仅在昨天我遇到了一整节的火狐工具,用于审计的网站和其潜在的各种漏洞。

在寻求扩大我所知在这一领域的作用,这样更多的信息阅读,或者学习,总是好的-固体链接以理解的也是!和战争故事的最糟糕你已经找到,或者最可怕的洞你见过-从经验中学习的最佳方法有时!

有帮助吗?

解决方案

我已经做了安全审查,白-box和黑盒,对几十个(几百?) 应用程序和网站。

  1. XSS和SQL注得到了很多新闻,但知道是我发现的最常见的缺陷是什么?离开调试和功能测试生产中的代码。无论是通过篡改后的参数(isDebug=True)或通过蜘蛛爬行一个网站并找到剩下的页,这些都是最糟糕的错误,我看到关于安全。如果你们其中包括测试和调试代码,把它放在一个单独的代码分支,或者至少编写一份清单,用于去除之前启动。

  2. 下一个最常见的脆弱性,我们看到的只是能够绕过安全机制,通过抓住一个网址的网页源。技术名称是'有力的导航'或'迫浏览'这是什么东西任何人可以阅读HTML可以做到,但我感到惊讶的各种应用脆弱。审查了一票-采购网站昨天,我可以购买机票用于出售出显示了使用这种方法。关于前一点,我能跳支付的完全(许许多多的Paypal网站通过"购买完成"URL贝宝通过后的参数-关闭!).你需要某种形式的后端有状态或检查,以确保完成、付款、可用性、准确度等等。

  3. 坦率地说,我通常让的工具,如AppScan,打嗝代理,WebScarab,巩固,置的代或YASCA(根据预算和源码无障碍)找到XSS和SQL注射击我。我会尝试简单的东西我自己,寻找明显的漏洞,但有太多的知名组合来试试自己。我把一个小集的剧本和试验的情况下,更高级的或最近发现的缺陷。

我要停止3,因为我真的可以走上一整天,我失去了焦点从你的问题,并且没人想读了一墙的文本。

一些资源用于新的和经验丰富的网络安全师:(哎呀.我不能正式张贴链接。复制/糊。对不起)

开放式网络应用程序安全项目(异)

http://www.owasp.org/

网络安全测试的食谱

这本书写对审计委员会,测试人员,少于开发人员。这是很不寻常的一个O'Reilly书。

websecuritytesting.com

脆弱性分类,通过巩固

www.fortify.com/vulncat/

共同的弱点枚举(警告:广泛的)

nvd.nist.gov/cwe.cfm

共同的攻击模式枚举和分类(警告:甚至更广泛的)

capec.mitre.org/

谷歌的网络安全的教程

(相当薄弱)

code.google.com/edu/security/index.html

其他提示

我加入了一个网络应用程序项目,包括一个文档库。它引用的文件喜欢的东西 http://example.com/getdocument?file=somefile.pdf.当然我只是不得不尝试file=/etc/passwd,当然它的工作。

方案:执行用户输入清理和/或使用的一些抽象级别之间的资源要求在网址和实际文件系统的资源。

这是表兄弟的SQL注射攻击。检查任何允许的请求,形迹可疑看起来像它给客户太多的控制。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top