-
-
[翻译]网络应用程序中排名前5的愚蠢的安全错误
-
2017-7-30 11:05 2996
-
在这个博客文章中,我将总结一些在过去5年中一直影响许多网络项目的常见的被忽视的问题。所有这些问题都是显而易见的,绝对可以预测的,可以被脚本小子、全自动扫描器和内部安全检查利用到。来看看吧!
1. Apache到Nginx迁移配置文件的公开。
别忘了.htaccess和.htpasswd文件不能被Nginx使用。因此,可以通过HTTP请求检索其内容,比如这样:
http://i-moved-from-apache-to-nginx.com/.htpasswd
2. CDN实现源代码公开。
开始使用CDN的最简单方法是将所有文件从Web服务器复制到CDN。在这种情况下,您不应该忘记,CDN本质上是静态内容服务器,所有的应用程序代码都可以访问,包括图像和其他资源,如下所示:http://i-started-to-use-CDN.COM/index.php。
3. 使用X-Forwarded-For,X-Real-IP和其他消息头绕过基于主机的身份验证。
不要忘记HTTP请求中的所有消息头都来自于攻击者。如果要检查请求的来源是属于Intranet或localhost的,请仔细检查您正在使用的来源。这个简单的curl命令可以提供帮助:
curl -X'X-Forwarded-For:127.0.0.1'http://i-protected-by-host-based-auth.com/
4、虚拟主机滥用。
我之前提到过,所有的HTTP请求都来自于攻击者,因此不可能信任HTTP请求中的任何内容。HOS消息头也不例外。如果您的负载平衡器端有一台个staging.company.com虚拟主机,请相信我,即使您的DNS配置中没有CNAME记录,攻击者也会发现并利用此主机。这个简单的命令可以帮助识别这个问题:curl -X'HOST:staging.intranet'http:// i-like-virt-hosts /
5、通过不安全的crossdomain.xml进行跨站脚本攻击。
许多Web项目在此配置文件中仍然存在问题。这样一来,攻击者就可以通过使用受害者的会话操作易受攻击的资源,与XSS漏洞一样。请仔细检查所有crossdomain.xml文件的通配符域,如下所示:
<allow-access-from domain="*" secure="false" /> <allow-access-from domain="youtube.*" secure="false" />
这五个错误清单只是我基于Wallarm在过去5年收集的统计数据所创建的自己的列表。我希望这是一个有用的阅读,不要忘记自动化所有的这些检查,因为安全意味着持续的防御。请享用!
原文链接:https://medium.com/@d0znpp/top-5-stupid-security-mistakes-in-web-apps-2f26f52ebfaa
本文由 看雪翻译小组 rainbow 编译
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!