十大令人哭笑不得的问题
发布时间:2022-07-01 14:08:22 所属栏目:安全 来源:互联网
导读:十、并发会话过多 Gmail和Facebook会话持续了数年,你可以同时从不同的设备访问它们。如果Gmail和Facebook不想为用户提供这种便利,则可以实施会话超时,以在用户闲置五分钟后将其注销。 现在,设想一种情况,假如你需要提交汇款请求,而银行要求你填写一个
|
十、并发会话过多 Gmail和Facebook会话持续了数年,你可以同时从不同的设备访问它们。如果Gmail和Facebook不想为用户提供这种便利,则可以实施会话超时,以在用户闲置五分钟后将其注销。 现在,设想一种情况,假如你需要提交汇款请求,而银行要求你填写一个包含十几个不同输入字段的在线表单。这样你就要切换到另一页以查找一些详细信息,对它们进行三次验证,然后仅检查一下Reddit(全球很受欢迎的讨论网站,它的访问量已经可以排进全球前十)。当你最终决定提交表单时,会收到一条错误消息,表明你的会话不再有效。为此你必须重新填写一遍,因为你只有这样做,才能汇款。不过,这个过程会让你极为不爽。 九、无用的信息披露 有一些信息披露是无用的。除了牵强附会的假想场景之外,其他信息几乎毫无用处,但仍然每天都有报道,我最喜欢的示例是"Server: Apache",这种不可思议的鲁莽行为为无数黑客打开了后门。没有人能猜到web服务器可能正在运行Apache,或者使用53种替代技术中的一种对其进行指纹识别。不幸的是,恶意的开发人员不允许你禁用它,因此你需要部署一个反向代理。 八、缺少rate-limit/ CAPTCHA RateLimiter 从概念上来讲,速率限制器会在可配置的速率下分配许可证,如果必要的话,每个acquire() 会阻塞当前线程直到许可证可用后获取该许可证,一旦获取到许可证,不需要再释放许可证。通俗的讲RateLimiter会按照一定的频率往桶里扔令牌,线程拿到令牌才能执行,比如你希望自己的应用程序QPS不要超过1000,那么RateLimiter设置1000的速率后,就会每秒往桶里扔1000个令牌。 七、将CSV注入作为一个漏洞 早在2014年,CSV注入(CSV Injection)漏洞的发现者James认为这是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。 但是,在跟踪研究过程中,James发现了一个公式,如果受害者点击多个可怕的警告,就会在Excel中执行任意代码。结果呢?几乎所有具有CSV导出功能的站点都有此报告。 六、未指定组件中的CVE-XXXX未指定漏洞 根据你发现的易受攻击的软件版本来报告漏洞并没有什么错,但是你很容易被成千上万的此类报告所困扰。在当前条件下,它们中可能只有一小部分实际上是可利用的,或者它们可能根本不会被用户看到。由于很难找到1%的可利用漏洞并正确确定优先级,但这就需要公司付出很多成本。扫描已知漏洞通常只是第一步,真正的价值是通过报告经过验证的漏洞并具有清晰的利用载体来创造的。 五、不再具有威胁的XSS漏洞 XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:Reflected XSS(基于反射的XSS攻击)、Stored XSS(基于存储的XSS攻击)、DOM-based or local XSS(基于DOM或本地的XSS攻击)。 四、缺少安全标头 标头是HTTP规范的一部分,在HTTP请求和响应中定义消息的元数据。当用户通过客户端浏览器访问网站时,服务器使用HTTP响应头进行响应。虽然HTTP消息通常由用户读取,但元数据仅由Web浏览器处理,并且自1.0版以来已包含在HTTP协议中。 三、标签钓鱼(tabnabbing) 该攻击手法是由Mozilla Firefox浏览器的界面及创意负责人Aza Raskin发现和命名的,tabnabbing可改变用户浏览网页的标签及接口,以诱导用户输入网络服务的账号与密码。 因此,Raskin将此手法称为标签绑架(tabnapping),他指出当使用者连上一个嵌有第三方script程序或Flash工具的网页时,就会让自己曝露于风险中,因为相关的恶意软件得以侦测使用者经常使用或正在使用的网络服务,在用户暂时离开该网页后,该网页内容及网页标签会悄悄地变身成为伪造的网络服务,并诱导用户输入个人信息。 二、缺少httponly标志 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的 根据研究者多年的跟踪分析,他们观察到了一种奇特的现象。当一种安全措施像设置HTTP标头或cookie标志一样简单时,它很快就会吸引很多狂热爱好者,他们坚持认为必须在任何可能的地方使用它。这样造成的后果是他们认为任何不采取这些措施的网站都肯定不安全。  (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号