资料
类别划分
如果撇开Web服务器的配置管理等其他外围因素,单纯从Web应用的代码出发,我觉得Web应用的漏洞可以分为四类。代码远程执行漏洞,功能逻辑漏洞,泄密漏洞和日志漏洞。
代码远程执行漏洞。XSS,LDAP injection,SQL Injection等各种Injection,可疑文件上传,缓冲区溢出,这些漏洞全都是因为输入中有代码,而且这些代码通过某些方式在某处以某些权限被执行。这类漏洞是大家知道最清楚的。
而功能逻辑漏洞则是指业务流程,认证授权方面的逻辑代码有问题。试想一个普通用户可以看其他用户的工资,使用管理员的权限。或者一个流程本来要走审批这一个过程,但是居然不审批也行。这都是逻辑代码有问题,产生了安全问题。这类安全问题国内的还不太重视,但是在OWASP上已经有了相关的文档。
泄密漏洞是指由于异常没有处理或者其他原因造成了系统信息的泄漏。比如说我就发现过,有程序员把测试帐号写在网页的注释或者脚本里。
日志漏洞这个就属于比较高级的了,可能很多Web应用本身都不记日志的,但是关键操作一定要保证日志的真实有效。我原来发现过一个系统记录的日志中的用户帐号居然是来自request里面的隐藏值,换句话说,用户改掉这个值再干操作,就再也无迹可查了。