資料
類別劃分
如果撇開Web伺服器的配置管理等其他外圍因素,單純從Web應用的程式碼出發,我覺得Web應用的漏洞可以分為四類。程式碼遠端執行漏洞,功能邏輯漏洞,洩密漏洞和日誌漏洞。
程式碼遠端執行漏洞。XSS,LDAP injection,SQL Injection等各種Injection,可疑檔案上傳,緩衝區溢位,這些漏洞全都是因為輸入中有程式碼,而且這些程式碼通過某些方式在某處以某些許可權被執行。這類漏洞是大家知道最清楚的。
而功能邏輯漏洞則是指業務流程,認證授權方面的邏輯程式碼有問題。試想一個普通使用者可以看其他使用者的工資,使用管理員的許可權。或者一個流程本來要走審批這一個過程,但是居然不審批也行。這都是邏輯程式碼有問題,產生了安全問題。這類安全問題國內的還不太重視,但是在OWASP上已經有了相關的文件。
洩密漏洞是指由於異常沒有處理或者其他原因造成了系統資訊的洩漏。比如說我就發現過,有程式設計師把測試帳號寫在網頁的註釋或者指令碼里。
日誌漏洞這個就屬於比較高階的了,可能很多Web應用本身都不記日誌的,但是關鍵操作一定要保證日誌的真實有效。我原來發現過一個系統記錄的日誌中的使用者帳號居然是來自request裡面的隱藏值,換句話說,使用者改掉這個值再幹操作,就再也無跡可查了。