Web 应用中最愚蠢的安全错误,前5名

Web 应用中最愚蠢的安全错误,前5名_第1张图片

在这个博客文章中,我将总结一些在过去5年中一直影响许多网络项目的常见的被忽视的问题。所有这些问题都是显而易见的,绝对可以预测的,可以被脚本小子、全自动扫描器和内部安全检查利用到。来看看吧!

1. Apache到Nginx迁移配置文件的公开

别忘了.htaccess和.htpasswd文件不能被Nginx使用。因此,可以通过HTTP请求检索其内容,比如这样:

http://i-moved-from-apache-to-nginx.com/.htpasswd

2. CDN实现源代码公开

开始使用CDN的最简单方法是将所有文件从Web服务器复制到CDN。在这种情况下,您不应该忘记,CDN本质上是静态内容服务器,所有的应用程序代码都可以访问,包括图像和其他资源,如下所示:

http://i-started-to-use-CDN.COM/index.php

3. 使用X-Forwarded-For,X-Real-IP和其他消息头绕过基于主机的身份验证。

不要忘记HTTP请求中的所有消息头都来自于攻击者。如果要检查请求的来源是属于Intranet或localhost的,请仔细检查您正在使用的来源。这个简单的curl命令可以提供帮助:

curl -X'X-Forwarded-For:127.0.0.1'http://i-protected-by-host-based-auth.com/

4. 虚拟主机滥用

我之前提到过,所有的HTTP请求都来自于攻击者,因此不可能信任HTTP请求中的任何内容。HOS消息头也不例外。如果您的负载平衡器端有一台个http://staging.company.com虚拟主机,请相信我,即使您的DNS配置中没有CNAME记录,攻击者也会发现并利用此主机。这个简单的命令可以帮助识别这个问题:curl -X'HOST:staging.intranet'http:// i-like-virt-hosts /

5、通过不安全的 crossdomain.xml 进行跨站脚本攻击

许多Web项目在此配置文件中仍然存在问题。这样一来,攻击者就可以通过使用受害者的会话操作易受攻击的资源,与XSS漏洞一样。请仔细检查所有crossdomain.xml文件的通配符域,如下所示:

这五个错误清单只是我基于Wallarm在过去5年收集的统计数据所创建的自己的列表。我希望这是一个有用的阅读,不要忘记自动化所有的这些检查,因为安全意味着持续的防御。请享用!

本文由看雪翻译小组 rainbow 原创,转载请注明来自看雪社区

你可能感兴趣的:(Web 应用中最愚蠢的安全错误,前5名)