web应用常见7大安全漏洞，浅析产生的原因！_应用系统常见的安全漏洞

作者：从前慢现在也慢 | 2024-03-29 11:02:26

踩

应用系统常见的安全漏洞

SQL 注入就是通过给 web 应用接口传入一些特殊字符，达到欺骗服务器执行恶意的 SQL 命令。

SQL 注入漏洞属于后端的范畴，但前端也可做体验上的优化。

原因：当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时，如果未对外部数据进行过滤，就会产生 SQL 注入漏洞。

XSS 攻击全称跨站脚本攻击(Cross-Site Scripting)，简单的说就是攻击者通过在目标网站上注入恶意脚本并运行，获取用户的敏感信息如 Cookie、SessionID 等，影响网站与用户数据安全。

XSS 攻击更偏向前端的范畴，但后端在保存数据的时候也需要对数据进行安全过滤。

原因：当攻击者通过某种方式向浏览器页面注入了恶意代码，并且浏览器执行了这些代码。

CSRF 攻击全称跨站请求伪造(Cross-site Request Forgery)，简单的说就是攻击者盗用了你的身份，以你的名义发送恶意请求。

解决方案：防止 CSRF 攻击需要在服务器端入手，基本的思路是能正确识别是否是用户发起的请求。

DoS 攻击全称拒绝服务(Denial of Service)，简单的说就是让一个公开网站无法访问，而 DDoS 攻击(分布式拒绝服务 Distributed Denial of Service)是 DoS 的升级版。这个就完全属于后端的范畴了。

原因：攻击者不断地提出服务请求，让合法用户的请求无法及时处理，这就是 DoS 攻击。

攻击者使用多台计算机或者计算机集群进行 DoS 攻击，就是 DDoS 攻击。

XXE 漏洞全称 XML 外部实体漏洞(XML External Entity)，当应用程序解析 XML 输入时，如果没有禁止外部实体的加载，导致可加载恶意外部文件和代码，就会造成任意文件读取、命令执行、内网端口扫描、攻击内网网站等攻击。

这个只在能够接收 XML 格式参数的接口才会出现。

JSON 劫持(JSON Hijacking)是用于获取敏感数据的一种攻击方式，属于 CSRF 攻击的范畴。

原因：一些 Web 应用会把一些敏感数据以 json 的形式返回到前端，如果仅仅通过 Cookie 来判断请求是否合法，那么就可以利用类似 CSRF 的手段，向目标服务器发送请求，以获得敏感数据。

这个一般针对密码而言，弱密码(Weak Password)很容易被别人(对你很了解的人等)猜到或被破解工具暴力破解。

推荐阅读

相关标签