Web服务器基础
OWASP Top Ten Project 漏洞基础
注入
用户的输入被当作代码执行。
类型
| 类型 | 说明 |
|---|---|
| SQL注入 | 拼接 |
| 系统命令注入 | 拼接 |
| 表达式语言注入 | Java中常见的 |
| 服务端模板注入 | 使用模板引擎的语言中常见的 |
失效的身份认证
敏感信息泄露
XML外部实体
XML
- 类似HTML,是一种标记语言。
- 目的不同,
- HTML旨在显示数据;
- XML旨在传输和存储数据。
XXE(Xml eXternal Entity)
利用XML处理器对外部实体的处理机制,以用户的外部实体输入替代已定义的实体引用。
失效的访问控制
安全配置错误
跨站脚本
| 类型 | 说明 |
|---|---|
| 反射型XSS | 在用户可控的输入放回位置插入脚本,通过交互触发。 |
| 存储型XSS | 将脚本写入持久化存储中。 |
| DOM型XSS | 将脚本写入正常的 JS 框架或者 API 中。 |
不安全的反序列化
序列化:把对象转换为字节序列的过程。
反序列化:把字节序列恢复为对象过程。
使用含有已知漏洞的组件
不足的日志记录和监控