web安全总结（二）

二、因设置或设计上的缺陷引发的安全漏洞

因设置或设计上的缺陷引发的安全漏洞是指，错误设置Web服务器，或由设计上的一些问题引发的安全漏洞。

1 强制浏览

强制浏览（Forced Browsing）安全漏洞是指，从安置在Web服务器的公开目录下的文件中，浏览那些赝本非自愿公开的文件。

强制浏览有可能会造成以下一些影响。

• 泄露顾客的个人信息
  

• 泄露原本需要具有访问权限的内容
  

• 泄露未开放的文件
  

  对那些原本不愿公开的文件，为保证安全会隐藏URL。可一旦知道了那些URL，也就意味着可浏览URL对应的文件。直接显示容易推测的文件名或文件目录索引时，通过某种方法可能使URL产生泄露。

2 不正确的错误消息处理

不正确的错误消息处理（Error Handling Vunerability）的安全漏洞是指，Web应用的错误信息内包含对攻击者有用的信息。与Web应用有关的主要错误信息有：

• Web应用抛出错误消息
  

• 数据库等系统抛出错误消息
  

Web应用不必在用户的浏览画面上展示详细的错误消息。对攻击者来说，详细的错误消息可能会给他们下一次攻击提示。

2.1 不正确的错误消息处理案例

1. 系统提示：‘邮件地址未注册’、‘密码错误’、‘账号错误’等提示错误类消息。
   

2. SQL相关错误返回请求体中展示
   

3 开放重定向

开放重定向（Open Redirect）是一种对指定的任意URL作为重定向跳转的功能。而与此功能相关联的安全漏洞是指，假如指定的重定向URL到某个具有恶意Web网站，那么用户就会被诱导到那个Web网站。

3.1 开放重定向攻击案例

例如有网站的重定向url为：

http://example.com/?redirect=http://www.tricorder.com

攻击者把重定向的参数修改成设好陷阱的Web网站：

http://example.com/?redirect=http://hackr.com

开放重定向功能，很有可能被攻击者作为钓鱼的跳板。