获得徽章 0
- 什么是 XSS?
![[思考]](//lf3-cdn-tos.bytescm.com/obj/static/xitu_juejin_web_seo/img/jj_emoji_15.f58c082.png)
XSS漏洞发生在web应用程序中,这些应用程序在不进行编码或验证的情况下接受用户输入并在响应中使用它。恶意用户编写恶意代码并通过输入表单提交。目标服务器包含这个脚本及其响应,客户机浏览器执行它。由于浏览器信任web服务器,它授予恶意脚本访问本地存储的cookie、会话令牌和其他敏感客户端信息的权限。
XSS是一个常见的攻击矢量,成功攻击的影响通常因不同的场景而不同,包括:
泄露用户文件
安装恶意软件/木马
窃取网上银行信息
HTML/DOM 内容修改
将用户重定向到未知网站
XSS 攻击类型
XSS 攻击主要分为三类:存储型 XSS 攻击/持久型 XSS/Type-I XSS
在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。每当客户端访问受感染网站或向web服务器发起请求时,该请求就会在用户的浏览器中执行恶意脚本。
无目的 XSS
一种混合形式的XSS攻击,其中攻击者的脚本被存储并反映来自后端应用程序的用户。
反射/非持久性 XSS
在反射式跨站点脚本中,恶意脚本会从 Web 服务器反射出来,例如搜索结果、错误消息或任何其他包含某些用户输入的 Web 服务器响应。该脚本通过外部路径传递给受害者,例如不同的网站或电子邮件。当受害者提交表单、浏览黑客网站或点击可疑链接时,恶意脚本会被发送到该网站,然后反映在客户端的浏览器中。
基于 DOM 的 XSS
在基于 DOM 的跨站脚本中,恶意脚本是通过修改受害者浏览器的文档对象模型环境而执行的。这种攻击不会改变 Web 服务器的 HTTP 响应,但会由于 DOM 修改而改变客户端代码的执行。展开2点赞 - 漏洞 | 什么是HTTP标头注入?
HTTP标头注入漏洞是一个Web应用程序安全性的术语,指当攻击者诱骗web应用插入额外的HTTP头到合法的HTTP响应。HTTP标头注入是一种可用于促进恶意攻击的技术,例如跨站点脚本、Web缓存中毒等。反过来,这些可能会导致信息泄露、您的应用程序被用于网络钓鱼攻击以及其他严重后果。
HTTP标头注入是一种更通用的攻击类别的特定案例:CRLF注入。如果攻击者能够在响应中注入CRLF序列(回车和换行),他们就能够添加各种虚假条目或更改现有数据:不仅是标题,甚至是整个响应正文。
什么导致HTTP标头注入漏洞?
就像大多数 Web 应用程序安全漏洞一样,HTTP标头注入漏洞(以及一般的CRLF注入漏洞)是过度信任用户输入的结果。
如果 Web 应用程序的开发人员直接在 HTTP 响应中使用外部数据,则通常可以执行 HTTP 标头注入攻击。展开赞过
评论1 - 小知识 | 什么是SBOM?
软件材料清单(software Bill of Materials, SBOM),SBOM是组成软件程序或应用程序的成分列表。从安全开发角度来说,大多是代码库中所有开放源码和第三方组件的列表。SBOM中列出的管理这些组件的许可证、代码库中使用的组件的版本及其补丁状态,有助于安全团队快速识别任何相关的安全或许可证风险。展开评论点赞 - 漏洞 | 路径遍历漏洞
路径遍历漏洞是什么?
为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。
许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。例如”../”作为一种常见的特殊字符串,在大多数操作系统中被解释为当前位置的父目录,这种使用特殊元素../的路径遍历漏洞又被称为 相对路径遍历。路径遍历还包括使用绝对路径名(如"/usr/local/bin"),用于访问非预期的文件,这称为 绝对路径遍历。
路径遍历漏洞的构成条件有哪些?
1、数据从不可靠来源(包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序;
2、该数据被用于构造新的文件目录,进一步进行访问或修改。
路径遍历漏洞会造成哪些后果?
1、攻击者可能创建或覆盖关键文件。例如程序或库,并用于执行;
2、攻击者绕过安全机制获取重要数据。例如,在可访问的文件路径末尾附加”../”等路径并重定向到本无权限的重要数据,这可能允许攻击者绕过身份验证;
3、攻击者可能能够覆盖,删除或损坏关键文件。例如程序,库或重要数据。这可能会阻止软件完全工作,并且在诸如认证之类的保护机制的情况下,它有可能锁定软件的每个用户。展开评论点赞 - 小知识 | 什么是凭证填充?
“凭据填充是一种攻击类型,黑客使用自动化和受损用户名和密码列表来破坏身份验证和授权机制,最终目标是帐户接管 (ATO) 和/或数据泄露。” 换句话说,不良行为者收集被破坏的用户名和密码列表,并针对所需的登录名运行它们,直到他们找到一些有效的登录名。然后,他们出于滥用权限、窃取数据或两者兼而有之的目的进入这些帐户。
为什么现在这么流行?
现在,通过受损凭证列表(许多在黑客论坛上免费发布)并运行低复杂度的凭证填充攻击,比以往任何时候都更容易、更经济。在工具方面,黑客也在使用同样有效的资源来实现自动化防御、自动化攻击。这些升级的功能包括脚本和自动化工具、API和流量限制(将暴力攻击伪装成合法流量)。
此外,随着远程工作、XaaS 技术和应用程序便利性的大力推动,企业更加依赖API,而这些API往往得不到充分保护。它们不是面向客户的,因此在保护方面似乎存在滞后。然而,“眼不见,心不烦”显然更利于网络犯罪分子。而且,围绕创建用户名和密码仍然存在普遍的不良卫生习惯,其中许多在多个网站上重复使用。
撞库攻击的工作原理
攻击者可以采取以下几个步骤来实施成功的撞库活动:
确定目标及其API。不良行为者会寻找托管服务器、域名和易受攻击的API端点。在过去几年中,超过50%的泄露记录来自应用程序和API。
收集被盗凭据的数据库。这些被盗的用户名和密码列表作为攻击的弹药。如果这一套被批量使用,就会自动进入。如果只是其中一个,暴力强迫可以更容易地找到另一个。
创建一个自动化且不受怀疑的工具。然后,自动化工具或脚本将对接入点进行暴力破解,直到其中一个有效。大多数黑客通过限制每小时的尝试次数来使这看起来像是合法的用户活动。
发起攻击。从云或各种地理位置发起攻击以逃避检测。
从结果中学习并转向ATO。黑客将检查成功代码,并经常将所有结果编码到他们的自动化工具中,以使攻击在下一次更加有效。一旦他们获得了一个可行的登录,就实现了 ATO,数据泄露就开始了。展开评论点赞 - 漏洞 | URL重定向(跳转)漏洞
URL重定向(URLredirection)漏洞,又称跳转漏洞,指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利。
评论点赞 - 漏洞 | 什么是SQL注入漏洞?
SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。展开评论点赞 - SAST小知识 | 静态应用程序安全测试 (SAST) 概述
当我们谈论 SAST 时,我们指的是旨在分析应用程序源代码、字节码和二进制文件的安全漏洞的安全工具。应用程序在非运行状态下进行分析,因此是“静态”测试。
SAST 可供开发人员使用并集成到 IDE 中。这些工具告诉开发人员哪些代码可能易受攻击,并提供有关如何修复的建议。
SAST 工具具有源代码访问权限,并且可以提供比 DAST 和 IAST 更好的覆盖率。此外,SAST 可以被动运行,无需太多配置,也无需担心由于代码未执行而破坏应用程序。展开赞过评论1 - 漏洞 | 什么是服务器端请求伪造 (SSRF)?
服务器端请求伪造(SSRF)是OWASP 2021年十大漏洞中唯一有自己类别的漏洞类型。近年来,包括Capital One和MS Exchange攻击在内的几起重大网络安全事件,都使用了SSRF作为入侵技术之一。
SSRF漏洞让攻击者从有漏洞的应用程序的后端服务器发送精心制作的请求。犯罪分子通常使用 SSRF 攻击来针对位于防火墙后面且无法从外部网络访问的内部系统。攻击者还可以利用 SSRF 访问通过被利用服务器的环回接口 (127.0.0.1) 提供的服务。
当攻击者完全或部分控制web应用程序发送的请求时,就会出现SSRF漏洞。一个常见的例子是攻击者可以控制web应用程序向其发出请求的第三方服务URL。展开评论点赞
![[思考]](http://lf3-cdn-tos.bytescm.com/obj/static/xitu_juejin_web_seo/img/jj_emoji_15.f58c082.png)