Web应用程序漏洞

了解攻击者如何攻击web应用程序.

Rapid7研究:last + AI

什么是Web应用程序漏洞?

Web应用程序漏洞涉及基于Web的应用程序中的系统缺陷或弱点. 它们已经存在很多年了, 很大程度上是由于没有验证或清理表单输入, 配置错误的web服务器, 应用程序设计缺陷, 并且它们可以被利用来危害应用程序的安全性.

这些 漏洞 是否与其他常见类型的漏洞(如网络或资产)不同. 它们的出现是因为web应用程序需要与跨多个网络的多个用户进行交互, 这种级别的可访问性很容易被黑客利用.

有专门为应用程序设计的web应用程序安全解决方案, 因此,在识别组织中的漏洞时,重要的是要超越传统的漏洞扫描器 App 保护. 要真正了解你的风险,了解更多关于 常见类型的网络安全攻击,以及网络扫描器如何帮助提高应用程序的安全性.

SQL注入攻击

结构化查询语言(SQL)现在被广泛用于管理和指导应用程序上的信息,以至于黑客已经想出了将自己的SQL命令插入数据库的方法.

这些命令可能会改变, 窃取或删除数据, 它们也可能允许黑客访问根系统. SQL(正式发音) ess-cue-el, but commonly pronounced “sequel”) st和s for structured query language; it’s a programming language used to communicate with databases. 许多为网站和服务存储关键数据的服务器都使用SQL来管理数据库中的数据.

SQL注入攻击专门针对这种服务器, 使用恶意代码让服务器泄露通常不会泄露的信息. 如果服务器存储来自网站或web应用程序的私人客户信息,这尤其成问题, 比如信用卡号, 用户名和密码(凭证), 或其他个人身份信息, 对于攻击者来说,哪些是诱人且有利可图的目标.

成功的SQL注入攻击通常是因为易受攻击的应用程序没有正确地清理用户提供的输入, 不剥离任何看起来是SQL代码的东西. 例如, 如果应用程序容易受到注入攻击, 攻击者有可能进入一个网站的搜索框,输入代码,指示该网站的SQL服务器转储该网站存储的所有用户名和密码. 

了解更多关于 SQL注入攻击.

跨站点脚本(XSS) 

在SQL注入攻击中, 攻击者追踪易受攻击的网站,以其存储的数据为目标, 例如用户凭证或敏感的财务数据. 但如果攻击者更愿意直接针对网站的用户, 他们可能会选择跨站点脚本攻击. 类似于SQL注入攻击, 这种攻击还包括向网站或基于web的应用程序注入恶意代码. 然而, 在这种情况下,攻击者注入的恶意代码仅在用户访问受攻击网站时在用户的浏览器中运行, 它会直接跟踪来访者.

攻击者部署跨站点脚本攻击的最常见方法之一是将恶意代码注入输入字段,当其他访问者查看受感染页面时,该输入字段将自动运行. 例如,他们可以在博客的评论中嵌入指向恶意JavaScript的链接. 

跨站点脚本攻击可以通过将用户信息置于危险之中而严重损害网络公司的声誉,甚至没有任何恶意事件发生的迹象. 用户发送到站点或应用程序的任何敏感信息,例如他们的凭据, 信用卡信息, 或者其他私人数据可以通过跨站点脚本劫持,而所有者甚至没有意识到存在问题. 

了解更多关于 跨站点脚本编制 攻击.

跨站请求伪造(CSRF)

A 跨站请求伪造(CSRF) 攻击是当受害者被迫在他们登录的web应用程序上执行意外操作时. web应用程序已经认为受害者和他们的浏览器是值得信任的, 这样,当受害者被骗向应用程序提交恶意请求时,黑客就会执行该操作. 从对用户无害的恶作剧到非法资金转移,这种技术已经被广泛使用. 

网站所有者可以帮助减少攻击机会的一种方法是为可能访问其网站或应用程序页面的任何人提供先进的验证技术, 尤其是在社交媒体或社区网站上. 这将使他们能够识别用户的浏览器和会话,以验证其真实性.

由于web应用程序的漏洞,黑客可以通过多种方式渗透到应用程序中, 也有各种各样的方法来防御它. 有一些web应用程序安全测试工具专门用于监视最公开的应用程序. 使用这些扫描程序可以准确地向您展示在哪里进行更安全的应用程序所需的更改,从而减少成为黑客攻击受害者的机会. 

阅读更多关于Web应用程序安全的信息

了解Rapid7的Web应用程序安全产品

应用程序安全:来自博客的最新消息