常见Web应用程序漏洞

• 不完善的身份验证措施 。这类漏洞包括应用程序登录机制中的各种缺陷，可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
• 不完善的访问控制措施。这一问题涉及的情况包括：应用程序无法为数据和功能提供全面保护，攻击者可以查看其他用户保存在服务器中的敏 感信息，或者执行特权操作。
• SQL注入。攻击者可通过这一漏洞提交专门设计的输入，干扰应用 程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏其逻辑结构，或者在数据库服务器上执行命令。
• 跨站点脚本。攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作，或者向其发动其他攻击。
• 信息泄露。这一问题包括应用程序泄露敏感信息，攻击者利用这些 敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。
• 跨站点请求伪造。利用这种漏洞，攻击者可以诱使用户在无意中使用自己 的用户权限对应用程序执行操作。恶意Web站点可以利用该漏洞，通过受害用户与 应用程序进行交互，执行用户并不打算执行的操作。

---

核心安全问题：用户可提交任意输入

• 用户可干预客户端与服务器间传送的所有数据，包括请求参数、cookie和HTTP信 息头。可轻易避开客户端执行的任何安全控件，如输入确认验证
• 用户可按任何顺序发送请求，并可在应用程序要求之外的不同阶段不止一次提交或 根本不提交参数。用户的操作可能与开发人员对用户和应用程序交互方式做出的任 何假设完全不同
• 用户并不限于仅使用一种Web浏览器访问应用程序。大量各种各样的工具可以协助 攻击Web应用程序，这些工具既可整合在浏览器中，也可独立于浏览器运作。这些工具能够提出普通浏览器无法提交的请求，并能够迅速生成大量的请求，查找和利 用安全问题达到自己的目的。

针对用户可提交任意输入问题专门设计的输入：

• 更改以隐藏的HTML表单字段提交的产品价格，以更低廉的价格欺诈性地购买该产 品。
• 修改在HTTP cookie中传送的会话令牌，劫持另一个验证用户的会话。
• 利用应用程序处理过程中的逻辑错误删除某些正常提交的参数。
• 改变由后端数据库处理的某个输入，从而注入一个恶意数据库查询以访问敏感数据。