- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
有漏洞的组件
当应用程序中使用的库和框架等组件几乎总是以完全权限执行时,就会发生这种威胁。如果易受攻击的组件被利用,黑客就更容易造成严重的数据丢失或服务器接管。
让我们借助简单的图表了解该缺陷的威胁代理、攻击向量、安全弱点、技术影响和业务影响。
例子
以下示例是使用具有已知漏洞的组件 -
攻击者可以通过不提供身份令牌来调用具有完全权限的任何 Web 服务。
通过基于 Java 的应用程序的 Spring 框架引入了带有表达式语言注入漏洞的远程代码执行。
预防机制
识别网络应用程序中使用的所有组件和版本,而不仅仅是数据库/框架。
使所有组件(例如公共数据库、项目邮件列表等)保持最新。
在本质上易受攻击的组件周围添加安全包装器。