一、HTTPS漏洞:
HTTPS的安全基础是SSL协议,但并不是说只要是HTTPS就是安全的。SSLv3有多个漏洞,如果HTTPS中启用SSLv3,会导致使用HTTPS的应用存在安全风险。目前SSLv3的相关漏洞没有对应的漏洞补丁,因此建议HTTPS禁用SSLv3版本;
二、重定向到任意URL:
对于要重定向到的目标网址如果不做任何检查就进行重定向的话,有可能被黑客利用进行一些恶意的攻击。所以一般都需要对要重定向到的目标网址做白名单校验,同时考虑使用Referer请求头辅助防御;
三、SSRF漏洞:
服务端请求伪造(Server-side request forgery):使用的数据来自第三方的URL,而第三方的URL不安全,导致拿到的数据存在攻击行为。所以在请求资源时一定要使用https并且一定要检查第三方的URL是否可信;
四、命令注入:
如果用户的输入会执行Shell,那么由于用户的输入不可控,比如如果输入rm -rf *,那么后果是很严重的。所以一定要对用户的输入进行检查,如果存在这样的命令,需要进行删除,转译或替换;
