可以推迟修复低危漏洞吗?
如果黑帽黑客能够将多个低危漏洞组合在一起,形成一个严重/高危漏洞,那答案就是不能!
最近,我们在客户的项目中多次观察到这种利用策略:
- 简单的SSRF或CLRF漏洞,如果与不安全的反序列化漏洞相结合,可导致服务器被接管。
- 低危的自XSS漏洞,如果与点击劫持漏洞相结合,可导致账户被接管。
- 登录/注销CSRF漏洞,这存在于我们测试的约80%的Web应用中。当它与影响账户的XSS漏洞结合时,可以导致Cookie被窃取,进而被利用劫持会话。
发现这种组合型漏洞需要手动测试,仅靠静态/动态漏洞扫描是远远不够的。
我们提供极具性价比的手动测试服务,由我们的认证道德黑客执行。如果您希望收到一份真实的测试报告样本,或为您的应用申请一次免费的24小时测试,请告知我们。
如需申请24小时免费渗透测试或获取真实报告样本,请发送邮件至 security@appsecuri.com,以便您了解我们高质量的工作与报告。
Appsecuri 是一家领先的网络安全公司,专注于发现网络漏洞并抵御网络威胁。Appsecuri 将机器学习(用于Web和移动应用的智能自动化)与我们认证研究人员的手动测试和人类智能相结合。通过红队评估,Appsecuri 提供全面的覆盖范围,以识别组织资产面临的威胁。
联系我们:security@appsecuri.comFINISHED CSD0tFqvECLokhw9aBeRquXWeDXfiP7fkOgZlhNz1oHzaAu0nuy3nuptL8G5ahRSCPunkvztOKWL1JGkepDduvAHUDU7BA+79zHQklFmb2gFi9Ag4I53w/whdUlDGttu
