黑帽黑客能否将多个低危漏洞组合在一起,形成一个严重/高危漏洞?答案是肯定的!
最近,我们在客户的实际环境中多次观察到这种攻击手法:
-
简单的SSRF或CLRF漏洞,如果与不安全反序列化漏洞结合,可能导致服务器被完全控制。
-
低危的自XSS漏洞,如果与点击劫持技术结合,可能导致账户被盗用。
-
在我们测试的约80%的Web应用中存在的登录/注销CSRF漏洞,如果与可影响账户的XSS漏洞结合,就可能导致Cookie被窃取,进而被利用劫持用户会话。
发现这类组合漏洞需要依靠人工测试,仅靠静态/动态漏洞扫描是远远不够的。
我们提供经济实惠的人工测试服务,由我们经验丰富的认证道德黑客执行。如果您希望获取一份真实的测试报告样本,或为您的应用申请一次免费的24小时测试,请随时联系我们。
申请24小时免费渗透测试或获取真实报告样本,请发送邮件至:security@appsecuri.com。您将能亲自体验到我们高质量的工作成果与测试报告。
Appsecuri是一家领先的网络安全公司,专注于发现网络漏洞并打击网络威胁。Appsecuri将机器学习的力量——用于实现Web和移动应用智能自动化测试——与人工测试及我们认证研究人员的专业智慧相结合。通过红队评估,Appsecuri为识别组织资产面临的威胁提供全面的安全覆盖。
联系我们:security@appsecuri.comFINISHED CSD0tFqvECLokhw9aBeRquXWeDXfiP7fkOgZlhNz1oHzaAu0nuy3nuptL8G5ahRSCPunkvztOKWL1JGkepDduvAHUDU7BA+79zHQklFmb2gFi9Ag4I53w/whdUlDGttu
