如何检测网站漏洞(免费web漏洞扫描工具推荐)

自媒体 自媒体

希望大家能对自己的网站安全进行提前预防和了解,再次提醒做安全测试前必须要有正规的授权才能进行测试,提供网站的安全性保障权益。

 

(原创文章www.9y9y.com)

 

(自媒体www.9y9y.com)

3.11.1. Xpath定义

(本文来自www.9y9y.com)

XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。

3.11.2. Xpath注入攻击原理

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作,下面以登录验证中的模块为例,说明 XPath注入攻击的实现原理。

在Web 应用程序的登录验证程序中,一般有用户名(username)和密码(password) 两个参数,程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中,其原理是通过查找user表中的用户名 (username)和密码(password)的结果来进行授权访问,

例存在user.xml文件如下:

<users>

<user>

<firstname>Ben</firstname>

<lastname>Elmore</lastname>

<loginID>abc</loginID>

<password>test123</password>

</user>

<user>

<firstname>Shlomy</firstname>

<lastname>Gantz</lastname>

<loginID>xyz</loginID>

<password>123test</password>

</user>

则在XPath中其典型的查询语句如下:

//users/user[loginID/text()=’xyz’and password/text()=’123test’]

但是,可以采用如下的方法实施注入攻击,绕过身份验证。如果用 户传入一个 login 和 password,例如 loginID = ‘xyz’ 和 password = ‘123test’,则该查询语句将返回 true。但如果用户传入类似 ‘ or 1=1 or ”=’ 的值,那么该查询语句也会得到 true 返回值,因为 XPath 查询语句最终会变成如下代码:

//users/user[loginID/text()=”or 1=1 or ”=” and password/text()=” or 1=1 or ”=”]

这个字符串会在逻辑上使查询一直返回 true 并将一直允许攻击者访问系统。攻击者可以利用 XPath 在应用程序中动态地操作 XML 文档。攻击完成登录可以再通过XPath盲入技术获取最高权限帐号和其它重要文档信息。

3.12. 逻辑漏洞 / 业务漏洞

 

 

3.12.1. 简介

逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。

在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。

3.12.2. 安装逻辑

  • 查看能否绕过判定重新安装
  • 查看能否利用安装文件获取信息
  • 看能否利用更新功能获取信息

3.12.3. 交易

3.12.3.1. 购买

  • 修改支付的价格
  • 修改支付的状态
  • 修改购买数量为负数
  • 修改金额为负数
  • 重放成功的请求
  • 并发数据库锁处理不当

3.12.3.2. 业务风控

  • 刷优惠券
  • 套现

3.12.4. 账户

3.12.4.1. 注册

  • 覆盖注册
  • ’尝试重复用户名
  • 注册遍历猜解已有账号

3.12.4.2. 登录

  • 撞库
  • 账号劫持
  • 恶意尝试帐号密码锁死账户

3.12.4.3. 找回密码

  • 重置任意用户密码
  • 密码重置后新密码在返回包中
  • Token验证逻辑在前端

3.12.4.4. 修改密码

  • 越权修改密码
  • 修改密码没有旧密码验证

3.12.5. 验证码

  • 验证码强度不够
  • 验证码无时间限制或者失效时间长
  • 验证码无猜测次数限制
  • 验证码传递特殊的参数或不传递参数绕过
  • 验证码可从返回包中直接获取
  • 验证码不刷新或无效
  • 验证码数量有限
  • 验证码在数据包中返回
  • 修改Cookie绕过
  • 修改返回包绕过
  • 图形验证码可OCR或使用机器学习识别
  • 验证码用于手机短信/邮箱轰炸

3.12.6. Session

  • Session机制
  • Session猜测
  • Session伪造
  • Session泄漏
  • Session Fixation

3.12.7. 越权

  • 水平越权
  • 攻击者可以访问与他拥有相同权限的用户的资源
  • 权限类型不变,ID改变
  • 垂直越权
  • 低级别攻击者可以访问高级别用户的资源
  • 权限ID不变,类型改变
  • 交叉越权
  • 权限ID改变,类型改变

3.12.8. 随机数安全

  • 使用不安全的随机数发生器
  • 使用时间等易猜解的因素作为随机数种子

3.12.9. 其他

  • 用户/订单/优惠券等ID生成有规律,可枚举
  • 接口无权限、次数限制
  • 加密算法实现误用
  • 执行顺序
  • 敏感信息泄露

3.13. 配置安全

 

 

3.13. 配置安全

  • 弱密码
  • 位数过低
  • 字符集小
  • 为常用密码
  • 个人信息相关(手机号 生日 姓名 用户名)
  • 使用键盘模式做密码
  • 敏感文件泄漏
  • .git
  • .svn
  • 数据库
  • Mongo/Redis等数据库无密码且没有限制访问
  • 加密体系
  • 在客户端存储私钥
  • 三方库/软件
  • 公开漏洞后没有及时更新,如果对此有进一步的想加强网站安全性以及渗透测试服务,可以咨询专业的网站安全公司来处理解决.

自媒体微信号:9y9y扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 个人创业经历(一个真实的创业故事)

    「正文」 最近这几年,创业公司特别多,我自己也一路从创业公司中走来。 不可否认,正是因为这么多创业公司,才为社会提供了诸多的就业机会和

  2. NO.2 北京公交车站车祸 大货车与公交车追尾致多人受伤现场狼藉

    北京公交车站车祸 大货车与公交车追尾致多人受伤现场狼藉:【北京公交车站车祸大货车与公交车追尾致多人受伤现场狼藉】据网友爆料,今早北京房

  3. NO.3 印尼清真寺遇袭袭击者被当场打死 一周之内已发生2起类似事件

    印度尼西亚首都雅加达一清真寺6月30日晚发生袭击事件。两名警察受伤,一名袭击者被警方打死。 印尼 媒体 援引该国国家警察总局发言人塞提约瓦

  4. NO.4 情侣为当网红竟表演书挡子弹当场身亡 把命都搭上也是太拼了

    美国明尼苏达州的一对情侣,19岁的女孩蒙娜丽莎(Monalisa Perez)和她22岁的男友佩德罗(Pedro Ruiz III)为了成为网红,最近几个星期一直在视频网站youtube上

  5. NO.5 巴铁投资公司华赢凯来涉非法集资 32人被刑拘

    中新网7月2日电 据北京市公安局东城分局官方微博 消息 ,针对有投资人举报北京华赢凯来资产管理有限公司从事非法集资活动的情况,北京市公安局

  6. NO.6 被同学暴打拍裸照 初中女生失联后遭打父亲报了三次警见到女儿

    副标题#e# 被同学暴打拍裸照 初中女生失联后遭打父亲报了三次警见到女儿时惊呆了 【被同学暴打拍裸照】6月28号晚上,小琴被2个女同学约了出去,

  7. NO.7 13岁男孩玩手游1月充值近5万元 本是孩子“救命钱”

    副标题#e# 看到支付宝的一长串账单,李先生头都大了。今年5月27日至6月24日,他的小儿子成成(化名)用他的支付宝给游戏充值了近5万元,最大一笔

  8. NO.8 杭州55岁老板为掩人耳目安排小三与哥哥结婚

    杭州55岁老板为掩人耳目安排小三与哥哥结婚。 这段时间,各种荒唐 新闻 出现的可不少。这不,前两天,杭州的一家法院就遇上了件奇葩事儿。 欲

Copyright2018.就要自媒体资讯站,让大家及时掌握各行各业第一手资讯新闻!