我最近在看乌云漏洞库:
可以看到别人的发现安全漏洞的姿势,很长知识。
我觉得乌云的这个模式比较牛,它像一个放大镜。同时它是一个平台,同时它还是一个链接。从它公开了的八万多个漏洞来看,姿势很多。乌云上汇聚了一批人,充满攻击性,创造性。
有没有WAF是一个重要的考量。
在web时代,是大开放的时代,也是搜索引擎的黄金时代,但是随着app的崛起,我们进入了数据岛的时代,搜索引擎式微式必然的,同样想利用搜索引擎获取漏洞页面是越来越难了,我只能说一个时代过去了。
下面的漏洞类别,可能来自乌云也可能来自owasp
乌云里面的常用工具:
sqlmap
brupsuite
乌云漏洞分类
看乌云,看思路,看工具,看姿势
设计缺陷/逻辑错误
例如横向越权,可遍历之类的错误。
弱口令
弱口令不是天灾,是人祸。
owasp top 10
A1 注入
sql注入
nosql注入
os注入等
A2 失效的身份认证
A3 敏感数据泄漏
账号密码是不是敏感信息?
手机号,银行卡,身份证号等等是不是敏感信息?
还有不对敏感信息加密,或者加密方法不正确。很早之前某网站竟然把用户的密码明文存储,这也太可怕了。
A4 xml外部实体
这个我也不太清楚
A5 失效的访问控制
那么什么是身份认证?什么是访问控制?
如果一个未经身份验证的用户可以访问任何页面,那么这是一个
缺陷。
如果一个非管理员权限的用户可以访问管理页面,那么这
同样也是一个缺陷。
A6 安全配置错误
就是配错了呗,很容易理解。
A7 跨站脚本(xss)
但是随着WAF的普及,xss越来越难了。
随着react, vue等前端框架的成熟,xss更难了。
不过,作为我第一个掌握的漏洞类型还是有纪念意义。
A8 不安全的反序列化
这块我很薄弱
A9 使用含有已知漏洞的组件
这几天沸沸扬扬的log4j2漏洞,给我提了个醒,在log4j2漏洞公开之前,可以理解,但是如果在公开之后,还使用不安全的log4j2,那么就是没有安全意识,同时也是不负责任。
A10 不足的日志记录和监控
有日志才有回溯的资本,有监控才能及时发现异常,并进行响应。
多数成功的攻击往往从漏洞探测开始。允许这种探测会将攻击成功的可能性提高到近100%。