2019獨角獸企業重金招聘Python工程師標準>>>

一般絕大部分的web應用攻擊都是沒特定目標的大范圍漏洞掃描，只有少數攻擊確實是為入侵特定目標而進行的針對性嘗試。這兩種攻擊都非常頻繁，難以準確檢測出來，許多網站的web應用防火墻都無法保證能夠有效運行。有一些被忽略的安全錯誤可能會威脅到web應用的安全。

存在的SQL注入漏洞 SQL注入依然還活躍著，安全監控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最普遍的Web攻擊方式，占該公司客戶報告事件的55%。不要存僥幸心理覺得SQL注入已經不存在了。 不安全的反序列話 反序列化過程就是應用接受序列化對象并將其還原的過程。如果序列化過程不安全，可能會出現大問題。Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速抬頭，2017年最后3個月里增長了300%，可能是受非法加密貨幣挖礦活動的驅動。 該不安全性可輕易導致Web應用暴露在遠程代碼執行的威脅之下——攻擊者戰術手冊中排名第二的攻擊技術。開放Web應用安全計劃(OWASP)去年將不安全反序列化納入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢？最鮮明的例子就是Equifax大規模數據泄露事件——據稱就是應用不安全反序列化漏洞發起的。 未使用內容安全策略組織跨站腳本 XSS是往帶漏洞web應用中出入惡意代碼的常見手段。XSS的目標不是web應用，而是使用web應用的用戶。組織XSS最有效的方法是使用內容安全策略（CSP），這一技術發展良好但仍未被大多數網站采納。

信息泄漏，50%的應用都有某種信息泄露漏洞。這些漏洞會將有關應用本身、應用所處環境或應用用戶的信息暴露給黑客，供黑客進行進一步的攻擊。信息泄漏可以是用戶名/口令泄漏，也可以是軟件版本號暴露。通常重新配置一下就能堵上漏洞，但緩解過程卻往往視泄漏數據的種類耳釘。問題在于，即便是軟件版本號泄漏了，也能夠給黑客帶來攻擊上的優勢。

轉載于:https://my.oschina.net/u/3778504/blog/1861495

總結

以上是生活随笔為你收集整理的威胁web应用安全的错误的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。