§22.4_Web应用漏洞_分析与防护

Categories:

• Wiki

  少于1分钟  

技术漏洞、业务逻辑漏洞

② 用户找回密码缺陷，例如，用户找回密码，需要输入手机号接收验证码，而没有校验这个手机号，随便输入一个手机号就能改密码。 恶意访问、黑灰产等威胁……

DWASP TOP10

隐藏详细的错误信息，禁用目录列表，隐藏版本号，尽量少的暴露安全策略信息。

SQL注入

给应用程序最小化权限，对用户输入内容进行过滤。

部署数据库审计系统。屏蔽掉错误信息的详细内容。对开源程序进行改造，避免默认的表结构被攻击。

文件上传漏洞

跨站脚本攻击XSS

解决跨站：检查用户输入、