2021網站常見漏洞有哪些

我們SINE安全在進行Web滲透測試中網站漏洞利用率最高的前五個漏洞。常見漏洞包括注入漏洞、檔案上傳漏洞、檔案包含漏洞、命令執行漏洞、程式碼執行漏洞、跨站點指令碼(XSS)漏洞、SSRF漏洞、XML外部實體(XXE)漏洞、反序列化漏洞、解析漏洞等。，因為這些安全漏洞可能被駭客利用，從而影響業務。以下每一條路線都是一種安全風險。駭客可以透過一系列的攻擊手段發現目標的安全弱點。如果安全漏洞被成功利用，目標將被駭客控制，威脅目標資產或正常功能的使用，最終導致業務受到影響。

常見的WebTOP5漏洞描述如下。

1.注入漏洞。由於其普遍性和嚴重性，注入漏洞在WebTOP10漏洞中始終排在第一位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。使用者可以透過任何輸入點輸入構建的惡意程式碼。如果應用程式沒有嚴格過濾使用者的輸入，一旦輸入的惡意程式碼作為命令或查詢的一部分被髮送到解析器，就可能導致注入漏洞。以SQL隱碼攻擊為例，是因為攻擊者透過瀏覽器或其他客戶端向網站引數中插入惡意SQL語句，而網站應用程式直接將惡意SQL語句帶入資料庫並執行而不進行過濾，最終導致透過資料庫獲取敏感資訊或其他惡意操作。

2.跨站指令碼(XSS)漏洞。XSS漏洞的全稱是跨站點指令碼漏洞。為了不與級聯樣式表(CSS)的縮寫混淆，跨站點指令碼漏洞縮寫為XSS。XSS漏洞是網路應用程式中常見的安全漏洞，它允許使用者將惡意程式碼植入網頁。當其他使用者訪問此頁面時，植入的惡意指令碼將在其他使用者的客戶端執行。XSS洩漏的危害很多，客戶端使用者的資訊可以透過XSS漏洞獲取，比如使用者登入的Cookie資訊；資訊可以透過XSS蝸牛傳播:木馬可以植入客戶端；您可以結合其他漏洞攻擊伺服器，並在伺服器中植入木馬。具有上傳功能的應用程式存在檔案上傳漏洞。如果應用程式在使用者上傳的檔案中沒有控制或缺陷，攻擊者可以利用應用程式上傳功能中的缺陷將木馬、病毒等有害檔案上傳到伺服器，然後控制伺服器。實戰中最常見的就是XSS跨站攻擊，如果想要對網站進行漏洞檢測的話還得靠人工去審計和滲透測試，建議向網站安全公司尋求安全服務，國內做的比較好的如SINESAFE,鷹盾安全，綠盟，啟明星辰等等。

3.檔案上傳漏洞。造成檔案上傳漏洞的主要原因是應用程式中有上傳功能，但上傳的檔案沒有透過嚴格的合法性檢查或者檢查功能有缺陷，導致木馬檔案上傳到伺服器。檔案上傳漏洞危害極大，因為惡意程式碼可以直接上傳到伺服器，可能造成伺服器網頁修改、網站暫停、伺服器遠端控制、後門安裝等嚴重後果。檔案上傳的漏洞主要是透過前端JS旁路、檔名旁路和Content-Type旁路上傳惡意程式碼。

4.檔案包含漏洞。檔案包含函式中包含的檔案引數沒有過濾或嚴格定義，引數可以由使用者控制，可能包含意外檔案。如果檔案中存在惡意程式碼，無論檔案是什麼字尾型別，檔案中的惡意程式碼都會被解析執行，導致檔案包含漏洞。檔案中包含的漏洞可能會造成網頁修改、網站暫停、伺服器遠端控制、後門安裝等危害。

5.命令執行的漏洞。應用程式的某些函式需要呼叫可以執行系統命令的函式。如果這些功能或者功能的引數可以被使用者控制，那麼惡意的命令就有可能透過命令聯結器拼接成正常的功能，從而可以隨意執行系統命令。這就是命令執行漏洞，這是高風險漏洞之一。