Xss Web安全测试

根据您的经验，您发现、处理或遇到了哪些站点漏洞？您采取了哪些措施来缓解这些问题

这可能包括XSS（跨站点脚本）、SQL注入攻击、针对您站点客户的普通DDOS或网络钓鱼尝试。就在昨天，我看到了一整部分Firefox工具，用于审核网站及其潜在的各种漏洞

---

希望扩大我在这方面的知识的作用，所以更多的信息阅读或学习总是好的-固体链接感谢！还有你所发现的最糟糕的战争故事，或者你所见过的最可怕的洞——从经验中学习有时是最好的方法

我加入了一个包含文档库的web应用程序项目。它引用文档的方式类似于。当然，我只需要尝试file=/etc/passwd，当然它是有效的

解决方案：执行用户输入清理和/或在URL中请求的资源和实际文件系统资源之间使用某种级别的抽象

---

这是SQL注入攻击的近亲。检查任何允许的请求，这些请求看起来似乎给了客户端太多的控制权。

我已经对几十（数百？）个应用程序和站点进行了安全审查，包括白盒和黑盒

XSS和SQL注入备受关注，但知道我发现最常见的安全漏洞是什么吗？在生产代码中保留调试和测试功能。无论是通过篡改POST参数（isDebug=True），还是通过对站点进行爬网并查找剩余页面，这些都是我在安全性方面看到的最严重的错误。如果您要包含测试/调试代码，请将其放在单独的代码分支中，或者至少在启动之前准备一份清单以供删除

我所看到的下一个最常见的漏洞就是通过从页面源抓取URL绕过安全机制的能力。技术名称是“强制导航”或“强制浏览”，这是任何能够阅读HTML的人都可以做的事情，但我对各种易受攻击的应用程序感到惊讶。昨天查看一个购票网站，我可以用这种方法为卖完的节目买票。在以前的网站上，我可以完全跳过支付（很多贝宝网站通过POST参数-yoink将“购买完成”URL传递给贝宝！）。您需要某种后端状态或检查，以确保完成、付款、可用性、准确性等

坦率地说，我通常让AppScan、BURP proxy、WebScarab、Fortify、FindBugs或YASCA（取决于预算和源代码可访问性）等工具为我找到XSS和SQL注入攻击。我会自己尝试简单的东西，寻找明显的漏洞，但已知的组合太多了，你自己无法尝试。我保存了一小部分脚本和测试用例，用于更高级或最近发现的缺陷

我会在3点停下来，因为我真的可以一整天都在讲，我会从你的问题上失去注意力，没有人想看一堆文字

新的和经验丰富的web安全专家的一些资源： （啊。我还不能正式发布链接。复制/粘贴。抱歉）

开放式Web应用程序安全项目（OWASP）

网络安全测试食谱

这本书是为审核员、测试人员编写的，而不是为开发人员编写的。这对于O'Reilly的书来说是很不寻常的

websecuritytesting.com

按防御分类的漏洞

www.fortify.com/vulncat/

常见弱点枚举（警告：广泛）

nvd.nist.gov/cwe.cfm

常见攻击模式枚举和分类（警告：范围更广）

capec.mitre.org/

谷歌的网络安全教程

（相当弱）

code.google.com/edu/security/index.html