在这个博客文章中，我将总结一些在过去5年中一直影响许多网络项目的常见的被忽视的问题。所有这些问题都是显而易见的，绝对可以预测的，可以被脚本小子、全自动扫描器和内部安全检查利用到。来看看吧！

    1. Apache到Nginx迁移配置文件的公开。

    别忘了.htaccess和.htpasswd文件不能被Nginx使用。因此，可以通过HTTP请求检索其内容，比如这样：

http://i-moved-from-apache-to-nginx.com/.htpasswd

    2. CDN实现源代码公开。

    开始使用CDN的最简单方法是将所有文件从Web服务器复制到CDN。在这种情况下，您不应该忘记，CDN本质上是静态内容服务器，所有的应用程序代码都可以访问，包括图像和其他资源，如下所示：http://i-started-to-use-CDN.COM/index.php。

    3. 使用X-Forwarded-For，X-Real-IP和其他消息头绕过基于主机的身份验证。

    不要忘记HTTP请求中的所有消息头都来自于攻击者。如果要检查请求的来源是属于Intranet或localhost的，请仔细检查您正在使用的来源。这个简单的curl命令可以提供帮助： 

curl -X'X-Forwarded-For：127.0.0.1'http://i-protected-by-host-based-auth.com/

    4、虚拟主机滥用。

    我之前提到过，所有的HTTP请求都来自于攻击者，因此不可能信任HTTP请求中的任何内容。HOS消息头也不例外。如果您的负载平衡器端有一台个staging.company.com虚拟主机，请相信我，即使您的DNS配置中没有CNAME记录，攻击者也会发现并利用此主机。这个简单的命令可以帮助识别这个问题：curl -X'HOST：staging.intranet'http：// i-like-virt-hosts /

5、通过不安全的crossdomain.xml进行跨站脚本攻击。

    许多Web项目在此配置文件中仍然存在问题。这样一来，攻击者就可以通过使用受害者的会话操作易受攻击的资源，与XSS漏洞一样。请仔细检查所有crossdomain.xml文件的通配符域，如下所示：

<allow-access-from domain="*" secure="false" />
<allow-access-from domain="youtube.*" secure="false" />

    这五个错误清单只是我基于Wallarm在过去5年收集的统计数据所创建的自己的列表。我希望这是一个有用的阅读，不要忘记自动化所有的这些检查，因为安全意味着持续的防御。请享用！

原文链接：https://medium.com/@d0znpp/top-5-stupid-security-mistakes-in-web-apps-2f26f52ebfaa

本文由 看雪翻译小组 rainbow 编译

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！