首页
社区
课程
招聘
[翻译]网络应用程序中排名前5的愚蠢的安全错误
发表于: 2017-7-30 11:05 3362

[翻译]网络应用程序中排名前5的愚蠢的安全错误

2017-7-30 11:05
3362

在这个博客文章中,我将总结一些在过去5年中一直影响许多网络项目的常见的被忽视的问题。所有这些问题都是显而易见的,绝对可以预测的,可以被脚本小子、全自动扫描器和内部安全检查利用到。来看看吧!

    1. ApacheNginx迁移配置文件的公开。

    别忘了.htaccess.htpasswd文件不能被Nginx使用。因此,可以通过HTTP请求检索其内容,比如这样:

http://i-moved-from-apache-to-nginx.com/.htpasswd

 

    2. CDN实现源代码公开。

    开始使用CDN的最简单方法是将所有文件从Web服务器复制到CDN。在这种情况下,您不应该忘记,CDN本质上是静态内容服务器,所有的应用程序代码都可以访问,包括图像和其他资源,如下所示:http://i-started-to-use-CDN.COM/index.php

 

    3. 使用X-Forwarded-ForX-Real-IP和其他消息头绕过基于主机的身份验证。

    不要忘记HTTP请求中的所有消息头都来自于攻击者。如果要检查请求的来源是属于Intranetlocalhost的,请仔细检查您正在使用的来源。这个简单的curl命令可以提供帮助: 

curl -X'X-Forwarded-For127.0.0.1'http://i-protected-by-host-based-auth.com/



[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//