十大常见web漏洞

十大常见Web漏洞及其详细说明如下：

• SQL注入漏洞

  原理：攻击者通过在输入中插入恶意SQL指令，绕过安全检查，直接操作数据库。

  常见位置：表单提交（POST/GET）、URL参数、Cookie、HTTP头（如Referer）、边缘输入点（如文件元数据）。

  危害：数据窃取、篡改、删除，甚至植入后门或恶意代码。

  防范方法：

  使用参数化查询接口，避免拼接SQL语句。

  对特殊字符（如'、"、<、>）进行转义或编码。

  严格验证数据类型（如数字字段必须为整数）、长度及范围。

  统一数据层编码（推荐UTF-8），避免过滤模型被绕过。

  限制用户数据库操作权限，仅授予必要权限。

  隐藏SQL错误信息，防止攻击者利用错误推断数据库结构。

  发布前使用专业工具（如SQLMap）检测漏洞。

• 跨站脚本漏洞（XSS）

  原理：攻击者在网页中注入恶意脚本（如JavaScript），当用户访问时，脚本在用户浏览器中执行，窃取数据或操控用户行为。

  类型：

  非持久型（反射型）：恶意代码通过URL或表单提交，经服务器反射后执行，不存储在服务端。

  持久型（存储型）：恶意代码存储在服务端（如数据库），用户访问受影响页面时触发。

  DOM型：客户端脚本处理逻辑缺陷导致，无需服务器参与。

  危害：窃取用户隐私（如Cookie、会话令牌）、钓鱼攻击、传播恶意代码。

  防范方法：

  对所有输入（包括HTTP头、Cookie）进行严格检查，过滤<script>、iframe等标签。

  验证数据类型、格式、长度及内容合法性。

  关键过滤步骤在服务端完成，避免依赖客户端验证。

  输出时对数据进行编码或转义，防止脚本执行。

  发布前测试所有已知威胁（如使用OWASP ZAP）。

• 弱口令漏洞

  定义：易被猜测或破解的密码，如空密码、默认密码、简单组合密码。

  设置原则：

  避免空密码或默认密码（如admin/admin）。

  长度≥8位，包含大写字母、小写字母、数字及特殊字符。

  避免连续字符（如123456）或重复模式（如ababab）。

  不使用个人信息（如姓名、生日）、字典单词或简单替换（如p@ssw0rd）。

  定期更换密码（至少90天一次），防止长期未被发现入侵。

• HTTP报头追踪漏洞

  原理：HTTP TRACE方法允许客户端获取服务器响应中的请求头信息，可能泄露Session Token、Cookie等敏感数据。

  攻击方式：结合浏览器脚本（如XMLHttpRequest）发起TRACE请求，通过DOM接口访问响应内容。

  防范方法：禁用HTTP TRACE方法（如通过服务器配置）。

• Struts2远程命令执行漏洞

  原理：Apache Struts框架存在输入过滤缺陷，攻击者可注入并执行任意Java代码。

  典型案例：

  “GPS车载卫星定位系统”远程命令执行漏洞（CNVD-2012-13934）。

  Aspcms留言本远程代码执行漏洞（CNVD-2012-11590）。

  修复方法：升级至最新版本（

  Apache Struts官网
  ）。

• 文件上传漏洞

  原理：文件上传功能未严格限制文件类型或后缀，攻击者可上传恶意文件（如Webshell）并执行。

  防范方法：

  限制上传文件类型（如仅允许.jpg、.pdf）。

  校验文件内容（如通过MIME类型检测）。

  禁止上传目录执行权限，防止脚本运行。

• 私有IP地址泄露漏洞

  泄露途径：

  局域网内通过Ping命令获取IP。

  互联网中通过IP版QQ或数据包分析工具（如Wireshark）截获IP。

  防范方法：

  使用代理服务器隐藏真实IP（如QQ支持ezProxy）。

  安装软件自动去除数据包包头IP信息（但可能影响性能）。

• 未加密登录请求漏洞

  原理：登录请求未加密传输敏感信息（如用户名、密码），攻击者可通过窃听网络获取数据。

  防范方法：使用加密协议（如HTTPS、SSH）传输敏感数据。

• 敏感信息泄露漏洞

  成因：SQL注入、XSS、目录遍历、弱口令等漏洞均可能导致敏感信息泄露。

  防御方式：

  针对SQL注入：使用参数化查询、转义特殊字符。

  针对XSS：过滤输入、编码输出。

  针对目录遍历：限制文件访问路径。

  针对弱口令：强制使用强密码策略。