c2c有哪些网站,南宁月嫂网站建设,许昌做网站公司,谷歌搜索优化seo1. Broken Access Control#xff08;访问控制失效#xff09;
原理#xff1a;应用程序未正确实施权限检查#xff0c;导致攻击者通过篡改请求、强制浏览或权限提升等手段绕过访问控制。
攻击手段#xff1a;
修改 URL、HTML、或 API 请求以访问未经授权的资源。
删除…1. Broken Access Control访问控制失效
原理应用程序未正确实施权限检查导致攻击者通过篡改请求、强制浏览或权限提升等手段绕过访问控制。
攻击手段
修改 URL、HTML、或 API 请求以访问未经授权的资源。
删除或伪造访问令牌以提升权限。
利用敏感数据暴露点来操控系统。
2. Cryptographic Failures加密失败
原理数据在存储或传输过程中未被妥善加密或使用了易被破解的加密算法导致敏感信息如密码或信用卡数据被泄露。
攻击手段
中间人攻击Man-in-the-Middle监听未加密的通信。
破解弱加密算法。
恶意访问未加密的敏感数据存储。
3. Injection注入漏洞
原理应用程序未正确处理用户输入导致恶意代码被嵌入和执行。常见类型包括 SQL 注入、命令注入和 LDAP 注入。
攻击手段
在 SQL 查询中注入语句 ( OR 11; --)。
利用输入字段执行系统命令如在 Shell 中运行恶意代码。
注入恶意脚本影响目录或认证查询。
4. Insecure Design不安全设计
原理系统在设计阶段未考虑到安全性导致架构本身存在缺陷使得攻击者容易利用。
攻击手段
架构未防止关键资源的并发冲突Race Conditions。
缺乏限速机制容易被暴力破解。
缺少日志记录无法检测异常行为。
5. Security Misconfiguration安全配置错误
原理开发人员或系统管理员未正确配置安全设置如使用默认密码或启用了不必要的服务攻击者可以轻松发现和利用。
攻击手段
扫描端口和服务利用默认配置漏洞。
利用调试页面、错误信息或未禁用的管理接口。
扫描并利用服务器暴露的敏感目录。
6. Vulnerable and Outdated Components漏洞组件和过时组件
原理系统使用的第三方库或依赖项存在已知漏洞这些漏洞可以被攻击者直接利用。
攻击手段
分析应用程序的公开信息查找使用的漏洞组件。
通过网络攻击手段触发组件漏洞。
恶意植入漏洞库的后门。
7. Identification and Authentication Failures身份验证和管理失败
原理身份验证系统未能正确保护用户的凭据导致攻击者可以冒充合法用户或接管用户账户。
攻击手段
暴力破解用户凭据如弱密码。
重放攻击利用未到期的会话令牌。
伪造登录信息绕过验证。
8. Software and Data Integrity Failures软件和数据完整性问题
原理应用程序无法验证软件或数据的完整性导致恶意数据或代码被执行。
攻击手段
替换未签名的软件更新。
注入恶意脚本到数据处理流程。
利用 CI/CD 流程的安全缺陷。
9. Security Logging and Monitoring Failures安全日志记录和监控失败
原理系统缺乏足够的日志记录或监控机制导致攻击行为未被发现或响应延迟。
攻击手段
在没有被检测到的情况下尝试多次攻击。
伪造日志或篡改现有日志以隐藏攻击行为。
绕过警报机制进行持久性攻击。
10. Server-Side Request Forgery (SSRF)服务端请求伪造
原理攻击者通过构造恶意请求诱导服务器向内部网络或外部资源发起请求从而获取敏感数据或执行恶意操作。
攻击手段
发送请求到内部网络服务如数据库、云元数据服务。
执行扫描内部网络漏洞。
获取敏感的云端服务配置。
