csrf工具源碼

Ⅰ Web應用安全威脅與防治——基於OWASP Top 10與ESAPI的目錄

第1篇 引子
故事一：家有一IT，如有一寶 2
故事二：微博上的蠕蟲 3
故事三：明文密碼 5
故事四：IT青年VS禪師 5
第2篇 基礎篇
第1章 Web應用技術 8
1.1 HTTP簡介 8
1.2 HTTPS簡介 10
1.3 URI 11
1.3.1 URL 11
1.3.2 URI/URL/URN 12
1.3.3 URI比較 13
1.4 HTTP消息 13
1.4.1 HTTP方法14
1.4.2 HTTP狀態碼 19
1.5 HTTP Cookie20
1.5.1 HTTP Cookie的作用22
1.5.2 HTTP Cookie的缺點23
1.6 HTTP session23
1.7 HTTP的安全 24
第2章 OWASP 27
2.1 OWASP簡介27
2.2 OWASP風險評估方法28
2.3 OWASP Top 10 34
2.4 ESAPI（Enterprise Security API） 35
第3篇 工具篇
第3章 Web伺服器工具簡介 38
3.1 Apache 38
3.2 其他Web伺服器 39
第4章 Web瀏覽器以及調試工具 42
4.1 瀏覽器簡介 42
4.1.1 基本功能 42
4.1.2 主流瀏覽器 43
4.1.3 瀏覽器內核 44
4.2 開發調試工具 45
第5章 滲透測試工具 47
5.1 Fiddler 47
5.1.1 工作原理 47
5.1.2 如何捕捉HTTPS會話 48
5.1.3 Fiddler功能介紹 49
5.1.4 Fiddler擴展功能 56
5.1.5 Fiddler第三方擴展功能 56
5.2 ZAP 58
5.2.1 斷點調試 60
5.2.2 編碼/解碼 61
5.2.3 主動掃描 62
5.2.4 Spider63
5.2.5 暴力破解 64
5.2.6 埠掃描 65
5.2.7 Fuzzer66
5.2.8 API 66
5.3 WebScrab 67
5.3.1 HTTP代理67
5.3.2 Manual Request 69
5.3.3 Spider70
5.3.4 Session ID分析71
5.3.5 Bean Shell的支持 71
5.3.6 Web編碼和解碼 73
第6章 掃描工具簡介 74
6.1 萬能的掃描工具——WebInspect 74
6.1.1 引言 74
6.1.2 WebInspect特性 74
6.1.3 環境准備 74
6.1.4 HP WebInspect總覽 76
6.1.5 Web網站測試 79
6.1.6 企業測試 86
6.1.7 生成報告 88
6.2 開源掃描工具——w3af 91
6.2.1 w3af概述 91
6.2.2 w3af環境配置 92
6.2.3 w3af使用示例 93
6.3 被動掃描的利器——Ratproxy 94
6.3.1 Ratproxy概述 94
6.3.2 Ratproxy環境配置 95
6.3.3 Ratproxy運行 96
第7章 漏洞學習網站 98
7.1 WebGoat 98
7.2 DVWA 99
7.3 其他的漏洞學習網站 99
第4篇 攻防篇
第8章 代碼注入 102
8.1 注入的分類 104
8.1.1 OS命令注入 104
8.1.2 XPath注入109
8.1.3 LDAP注入114
8.1.4 SQL注入 118
8.1.5 JSON注入131
8.1.6 URL參數注入 133
8.2 OWASP ESAPI與注入問題的預防 135
8.2.1 命令注入的ESAPI預防 135
8.2.2 XPath注入的ESAPI預防 138
8.2.3 LDAP注入的ESAPI預防 138
8.2.4 SQL注入的ESAPI預防 141
8.2.5 其他注入的ESAPI預防 143
8.3 注入預防檢查列表 143
8.4 小結 144
第9章 跨站腳本（XSS）146
9.1 XSS簡介 146
9.2 XSS分類 146
9.2.1 反射式XSS 146
9.2.2 存儲式XSS 148
9.2.3 基於DOM的XSS 149
9.2.4 XSS另一種分類法 151
9.3 XSS危害 154
9.4 XSS檢測 156
9.4.1 手動檢測 156
9.4.2 半自動檢測 158
9.4.3 全自動檢測 158
9.5 XSS的預防 159
9.5.1 一刀切 159
9.5.2 在伺服器端預防 160
9.5.3 在客戶端預防 168
9.5.4 富文本框的XSS預防措施 170
9.5.5 CSS 172
9.5.6 FreeMarker174
9.5.7 OWASP ESAPI與XSS的預防 177
9.6 XSS檢查列表 183
9.7 小結 184
第10章 失效的身份認證和會話管理 185
10.1 身份認證和會話管理簡介185
10.2 誰動了我的琴弦——會話劫持186
10.3 請君入瓮——會話固定 188
10.4 我很含蓄——非直接會話攻擊191
10.5 如何測試 199
10.5.1 會話固定測試 199
10.5.2 用Web Scrab分析會話ID 200
10.6 如何預防會話攻擊 202
10.6.1 如何防治固定會話 202
10.6.2 保護你的會話令牌 204
10.7 身份驗證 208
10.7.1 雙因子認證流程圖 209
10.7.2 雙因子認證原理說明 210
10.7.3 隱藏在QR Code里的秘密 211
10.7.4 如何在伺服器端實現雙因子認證 212
10.7.5 我沒有智能手機怎麼辦 216
10.8 身份認證設計的基本准則216
10.8.1 密碼長度和復雜性策略 216
10.8.2 實現一個安全的密碼恢復策略 217
10.8.3 重要的操作應通過HTTPS傳輸 217
10.8.4 認證錯誤信息以及賬戶鎖定 219
10.9 檢查列表 219
10.9.1 身份驗證和密碼管理檢查列表 219
10.9.2 會話管理檢查列表 220
10.10 小結 221
第11章 不安全的直接對象引用 222
11.1 坐一望二——直接對象引用 222
11.2 不安全直接對象引用的危害 224
11.3 其他可能的不安全直接對象引用 224
11.4 不安全直接對象引用的預防 225
11.5 如何使用OWASP ESAPI預防 227
11.6 直接對象引用檢查列表 230
11.7 小結 230
第12章 跨站請求偽造（CSRF） 232
12.1 CSRF簡介 232
12.2 誰動了我的乳酪232
12.3 跨站請求偽造的攻擊原理233
12.4 剝繭抽絲見真相235
12.5 其他可能的攻擊場景236
12.5.1 家用路由器被CSRF攻擊 236
12.5.2 別以為用POST你就躲過了CSRF 238
12.5.3 寫一個自己的CSRF Redirector 241
12.5.4 利用重定向欺騙老實人 243
12.6 跨站請求偽造的檢測245
12.6.1 手工檢測 245
12.6.2 半自動CSRFTester 246
12.7 跨站請求偽造的預防250
12.7.1 用戶需要知道的一些小技巧 250
12.7.2 增加一些確認操作 250
12.7.3 重新認證 250
12.7.4 加入驗證碼（CAPTCHA） 250
12.7.5 ESAPI解決CSRF 250
12.7.6 CSRFGuard 256
12.8 CSRF檢查列表 260
12.9 小結 261
第13章 安全配置錯誤 262
13.1 不能說的秘密——Google hacking 262
13.2 Tomcat那些事 264
13.3 安全配置錯誤的檢測與預防 264
13.3.1 系統配置 264
13.3.2 Web應用伺服器的配置 268
13.3.3 資料庫 282
13.3.4 日誌配置 284
13.3.5 協議 285
13.3.6 開發相關的安全配置 291
13.3.7 編譯器的安全配置 302
13.4 安全配置檢查列表 305
13.5 小結 307
第14章 不安全的加密存儲 308
14.1 關於加密 310
14.1.1 加密演算法簡介 310
14.1.2 加密演算法作用 312
14.1.3 加密分類 313
14.2 加密數據分類 314
14.3 加密數據保護 315
14.3.1 密碼的存儲與保護 315
14.3.2 重要信息的保護 323
14.3.3 密鑰的管理 336
14.3.4 數據的完整性 339
14.3.5 雲系統存儲安全 342
14.3.6 數據保護的常犯錯誤 343
14.4 如何檢測加密存儲數據的安全性 344
14.4.1 審查加密內容 344
14.4.2 已知答案測試（Known Answer Test）344
14.4.3 自發明加密演算法的檢測 345
14.4.4 AES加密演算法的測試 345
14.4.5 代碼審查 346
14.5 如何預防不安全的加密存儲的數據347
14.6 OWASP ESAPI與加密存儲 348
14.6.1 OWASP ESAPI與隨機數 353
14.6.2 OWASP ESAPI 與FIPS 140-2 354
14.7 加密存儲檢查列表 355
14.8 小結 355
第15章 沒有限制的URL訪問357
15.1 掩耳盜鈴——隱藏（Disable）頁面按鈕357
15.2 許可權認證模型 358
15.2.1 自主型訪問控制 360
15.2.2 強制型訪問控制 360
15.2.3 基於角色的訪問控制 361
15.3 繞過認證 363
15.3.1 網路嗅探 364
15.3.2 默認或者可猜測用戶賬號 364
15.3.3 直接訪問內部URL364
15.3.4 修改參數繞過認證 365
15.3.5 可預測的SessionID365
15.3.6 注入問題 365
15.3.7 CSRF 365
15.3.8 繞過認證小結 366
15.4 繞過授權驗證 367
15.4.1 水平越權 368
15.4.2 垂直越權 369
15.5 文件上傳與下載373
15.5.1 文件上傳 373
15.5.2 文件下載和路徑遍歷 377
15.6 靜態資源 382
15.7 後台組件之間的認證383
15.8 SSO 385
15.9 OWASP ESAPI與授權 386
15.9.1 AccessController的實現387
15.9.2 一個AccessController的代碼示例390
15.9.3 我們還需要做些什麼 391
15.10 訪問控制檢查列表 393
15.11 小結 393
第16章 傳輸層保護不足 395
16.1 卧底的故事——對稱加密和非對稱加密395
16.2 明文傳輸問題 396
16.3 有什麼危害398
16.3.1 會話劫持 398
16.3.2 中間人攻擊 399
16.4 預防措施 399
16.4.1 密鑰交換演算法 400
16.4.2 對稱加密和非對稱加密結合 401
16.4.3 SSL/TLS 406
16.5 檢查列表 423
16.6 小結 423
第17章 未驗證的重定向和轉發 425
17.1 三角借貸的故事——轉發和重定向425
17.1.1 URL轉發425
17.1.2 URL重定向 426
17.1.3 轉發與重定向的區別 429
17.1.4 URL 重定向的實現方式 430
17.2 危害 438
17.3 如何檢測 439
17.4 如何預防 440
17.4.1 OWASP ESAPI與預防 441
17.5 重定向和轉發檢查列表 443
17.6 小結 443
第5篇 安全設計、編碼十大原則
第18章 安全設計十大原則 448
設計原則1——簡單易懂 448
設計原則2——最小特權 448
設計原則3——故障安全化450
設計原則4——保護最薄弱環節451
設計原則5——提供深度防禦 452
設計原則6——分隔 453
設計原則7——總體調節 454
設計原則8——默認不信任454
設計原則9——保護隱私 455
設計原則10——公開設計，不要假設隱藏秘密就是安全 455
第19章 安全編碼十大原則 457
編碼原則1——保持簡單 457
編碼原則2——驗證輸入 458
編碼原則3——注意編譯器告警459
編碼原則4——框架和設計要符合安全策略 459
編碼原則5——默認拒絕 460
編碼原則6——堅持最小許可權原則 462
編碼原則7——凈化發送到其他系統的數據 463
編碼原則8——深度預防 464
編碼原則9——使用有效的質量保證技術464
編碼原則10——採用一個安全編碼規范 465
媒體評論
這是一本帶點酷酷的工程師范兒和人文氣質的「硬貨」。作為一名資深IT文藝老人，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實用信息安全書，過去卻往往只在國外作者中讀到。正如書中開頭的引子說的那樣：「家有IT，如有一寶。」那麼在Web安全日益火爆的今天，你會不會在讀完這本書後的未來也成為傳說中讓我們頂禮膜拜的大牛呢^-^
——IDF威懾防禦實驗室益雲（公益互聯網）社會創新中心聯合創始人萬濤@黑客老鷹
伴隨互聯網的高速發展，基於B/S架構的業務系統對安全要求越來越高，安全從業人員面臨空前的壓力。如何讓安全從業人員快速掌握Web應用安全？本書以詼諧、幽默的語言，精彩、豐富的實例，幫助安全從業人員從端到端理解Web應用安全。不失為近幾年Web應用安全書籍的上佳之作。
——OWASP中國區主席SecZone高級安全顧問 RIP
很樂意看到有人將自身的資深安全積累和OWASP的最佳實踐出版成書，內容嚴謹細致卻不乏生動。這本信息安全領域的實用手冊將成為銀基安全致力於互聯網安全的參考指導書目之一，我們廣泛的電信、銀行、保險、證券和政府部門等客戶都會從中受益。
——上海銀基信息安全技術有限公司首席技術官胡紹勇（Kurau）
隨著安全訪問控制策略ACL的普及應用，互聯網企業目前面臨的安全風險面主要集中在Web服務層。其中Web應用系統在架構設計、開發編碼過程中是安全漏洞和風險引入的主要階段，而普遍地我們的架構、開發、測試崗位在安全技能與意識上恰恰是相對比較欠缺的。本書詳細介紹了Web安全基礎知識、測試平台與方法，常見漏洞形式與原理，並結合OWASP最佳實踐經驗給出預防建議、設計和編碼原則等。書中舉例生動形象，圖文代碼並茂，步驟歸納清晰。特別推薦給廣大Web開發、測試、安全崗位的朋友們。
—— 中國金山軟體集團信息安全負責人程沖
在網路攻擊愈加復雜，手段日益翻新的今天，Web攻擊依然是大多數攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應用的安全突顯其重要性。OWASP作為全球領先的Web應用安全研究團隊，透過本書將Web應用安全的威脅、防禦以及相關的工具進行了詳細的探討和研究。詳盡的操作步驟說明是本書的亮點之一，這些詳實且圖文並茂的內容為逐步深入學習Web應用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業的在校生以及應用安全相關從業人員的學習指導書。
-- 上海交通大學信息安全工程學院施勇(CISSP CISA)

Ⅱ 滲透測試應該怎麼做呢

01、信息收集
1、域名、IP、埠
域名信息查詢：信息可用於後續滲透
IP信息查詢：確認域名對應IP，確認IP是否真實，確認通信是否正常
埠信息查詢：NMap掃描，確認開放埠
發現：一共開放兩個埠，80為web訪問埠，3389為windows遠程登陸埠，嘿嘿嘿，試一下
發現：是Windows Server 2003系統，OK，到此為止。
2、指紋識別
其實就是網站的信息。比如通過可以訪問的資源，如網站首頁，查看源代碼:
看看是否存在文件遍歷的漏洞（如圖片路徑，再通過…/遍歷文件）
是否使用了存在漏洞的框架（如果沒有現成的就自己挖）
02、漏洞掃描
1、主機掃描
Nessus
經典主機漏掃工具，看看有沒有CVE漏洞：
2、Web掃描
AWVS（Acunetix | Website Security Scanner）掃描器
PS：掃描器可能會對網站構成傷害，小心謹慎使用。
03、滲透測試
1、弱口令漏洞
漏洞描述
目標網站管理入口（或資料庫等組件的外部連接）使用了容易被猜測的簡單字元口令、或者是默認系統賬號口令。
滲透測試
① 如果不存在驗證碼，則直接使用相對應的弱口令字典使用burpsuite 進行爆破
② 如果存在驗證碼，則看驗證碼是否存在繞過、以及看驗證碼是否容易識別
風險評級：高風險
安全建議
① 默認口令以及修改口令都應保證復雜度，比如：大小寫字母與數字或特殊字元的組合，口令長度不小於8位等
② 定期檢查和更換網站管理口令
2、文件下載（目錄瀏覽）漏洞
漏洞描述
一些網站由於業務需求，可能提供文件查看或下載的功能，如果對用戶查看或下載的文件不做限制，則惡意用戶就能夠查看或下載任意的文件，可以是源代碼文件、敏感文件等。
滲透測試
① 查找可能存在文件包含的漏洞點，比如js，css等頁面代碼路徑
② 看看有沒有文件上傳訪問的功能
③ 採用…/來測試能否誇目錄訪問文件
風險評級：高風險
安全建議
① 採用白名單機制限制伺服器目錄的訪問，以及可以訪問的文件類型(小心被繞過)
② 過濾【./】等特殊字元
③ 採用文件流的訪問返回上傳文件（如用戶頭像），不要通過真實的網站路徑。
示例：tomcat，默認關閉路徑瀏覽的功能：
<param-name>listings</param-name>
<param-value>false</param-value>

3、任意文件上傳漏洞
漏洞描述
目標網站允許用戶向網站直接上傳文件，但未對所上傳文件的類型和內容進行嚴格的過濾。

滲透測試

① 收集網站信息，判斷使用的語言（PHP，ASP，JSP）
② 過濾規則繞過方法：文件上傳繞過技巧

風險評級：高風險

安全建議

① 對上傳文件做有效文件類型判斷，採用白名單控制的方法，開放只允許上傳的文件型式；

② 文件類型判斷，應對上傳文件的後綴、文件頭、圖片類的預覽圖等做檢測來判斷文件類型，同時注意重命名（Md5加密）上傳文件的文件名避免攻擊者利用WEB服務的缺陷構造畸形文件名實現攻擊目的；

③ 禁止上傳目錄有執行許可權；

④ 使用隨機數改寫文件名和文件路徑，使得用戶不能輕易訪問自己上傳的文件。

4、命令注入漏洞

漏洞描述

目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗，允許用戶輸入特殊語句，導致各種調用系統命令的web應用，會被攻擊者通過命令拼接、繞過黑名單等方式，在服務端運行惡意的系統命令。

滲透測試

風險評級：高風險

安全建議

① 拒絕使用拼接語句的方式進行參數傳遞；

② 盡量使用白名單的方式（首選方式）；

③ 過濾危險方法、特殊字元，如：【|】【&】【；】【』】【"】等

5、SQL注入漏洞

漏洞描述

目標網站未對用戶輸入的字元進行特殊字元過濾或合法性校驗，允許用戶輸入特殊語句查詢後台資料庫相關信息

滲透測試

① 手動測試：判斷是否存在SQL注入，判斷是字元型還是數字型，是否需要盲注

② 工具測試：使用sqlmap等工具進行輔助測試

風險評級：高風險

安全建議

① 防範SQL注入攻擊的最佳方式就是將查詢的邏輯與其數據分隔，如Java的預處理，PHP的PDO

② 拒絕使用拼接SQL的方式

6、跨站腳本漏洞

漏洞描述

當應用程序的網頁中包含不受信任的、未經恰當驗證或轉義的數據時，或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時，就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本，並劫持用戶會話、破壞網站或將用戶重定向到惡意站點。

三種XSS漏洞：

① 存儲型：用戶輸入的信息被持久化，並能夠在頁面顯示的功能，都可能存在存儲型XSS，例如用戶留言、個人信息修改等。

② 反射型：URL參數需要在頁面顯示的功能都可能存在反射型跨站腳本攻擊，例如站內搜索、查詢功能。

③ DOM型：涉及DOM對象的頁面程序，包括：document.URL、document.location、document.referrer、window.location等

滲透測試

存儲型，反射型，DOM型

風險評級：高風險

安全建議

① 不信任用戶提交的任何內容，對用戶輸入的內容，在後台都需要進行長度檢查，並且對【<】【>】【"】【』】【&】等字元做過濾
② 任何內容返回到頁面顯示之前都必須加以html編碼，即將【<】【>】【"】【』】【&】進行轉義。

7、跨站請求偽造漏洞

漏洞描述

CSRF，全稱為Cross-Site Request Forgery，跨站請求偽造，是一種網路攻擊方式，它可以在用戶毫不知情的情況下，以用戶的名義偽造請求發送給被攻擊站點，從而在未授權的情況下進行許可權保護內的操作，如修改密碼，轉賬等。

滲透測試

風險評級：中風險（如果相關業務極其重要，則為高風險）

安全建議

① 使用一次性令牌：用戶登錄後產生隨機token並賦值給頁面中的某個Hidden標簽，提交表單時候，同時提交這個Hidden標簽並驗證，驗證後重新產生新的token，並賦值給hidden標簽；

② 適當場景添加驗證碼輸入：每次的用戶提交都需要用戶在表單中填寫一個圖片上的隨機字元串；

③ 請求頭Referer效驗，url請求是否前部匹配Http(s)😕/ServerHost

④ 關鍵信息輸入確認提交信息的用戶身份是否合法，比如修改密碼一定要提供原密碼輸入

⑤ 用戶自身可以通過在瀏覽其它站點前登出站點或者在瀏覽器會話結束後清理瀏覽器的cookie；

8、內部後台地址暴露

漏洞描述

一些僅被內部訪問的地址，對外部暴露了，如：管理員登陸頁面；系統監控頁面；API介面描述頁面等，這些會導致信息泄露，後台登陸等地址還可能被爆破。

滲透測試

① 通過常用的地址進行探測，如login.html，manager.html，api.html等；

② 可以借用burpsuite和常規頁面地址字典，進行掃描探測

風險評級：中風險

安全建議

① 禁止外網訪問後台地址

② 使用非常規路徑（如對md5加密）

9、信息泄露漏洞

漏洞描述

① 備份信息泄露：目標網站未及時刪除編輯器或者人員在編輯文件時，產生的臨時文件，或者相關備份信息未及時刪除導致信息泄露。

② 測試頁面信息泄露：測試界面未及時刪除，導致測試界面暴露，被他人訪問。

③ 源碼信息泄露：目標網站文件訪問控制設置不當，WEB伺服器開啟源碼下載功能，允許用戶訪問網站源碼。

④ 錯誤信息泄露：目標網站WEB程序和伺服器未屏蔽錯誤信息回顯，頁面含有CGI處理錯誤的代碼級別的詳細信息，例如SQL語句執行錯誤原因，PHP的錯誤行數等。

⑤ 介面信息泄露：目標網站介面訪問控制不嚴，導致網站內部敏感信息泄露。

滲透測試

① 備份信息泄露、測試頁面信息泄露、源碼信息泄露，測試方法：使用字典，爆破相關目錄，看是否存在相關敏感文件

② 錯誤信息泄露，測試方法：發送畸形的數據報文、非正常的報文進行探測，看是否對錯誤參數處理妥當。

③ 介面信息泄露漏洞，測試方法：使用爬蟲或者掃描器爬取獲取介面相關信息，看目標網站對介面許可權是否合理

風險評級：一般為中風險，如果源碼大量泄漏或大量客戶敏感信息泄露。

安全建議

① 備份信息泄露漏洞：刪除相關備份信息，做好許可權控制

② 測試頁面信息泄露漏洞：刪除相關測試界面，做好許可權控制

③ 源碼信息泄露漏洞：做好許可權控制

④ 錯誤信息泄露漏洞：將錯誤信息對用戶透明化，在CGI處理錯誤後可以返回友好的提示語以及返回碼。但是不可以提示用戶出錯的代碼級別的詳細原因

⑤ 介面信息泄露漏洞：對介面訪問許可權嚴格控制

10、失效的身份認證

漏洞描述

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌， 或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。

滲透測試

① 在登陸前後觀察，前端提交信息中，隨機變化的數據，總有與當前已登陸用戶進行綁定的會話唯一標識，常見如cookie

② 一般現在網站沒有那種簡單可破解的標識，但是如果是跨站認證，單點登錄場景中，可能為了開發方便而簡化了身份認證

風險評級：高風險

安全建議

① 使用強身份識別，不使用簡單弱加密方式進行身份識別；

② 伺服器端使用安全的會話管理器，在登錄後生成高度復雜的新隨機會話ID。會話ID不能在URL中，可以安全地存儲，在登出、閑置超時後使其失效。

11、失效的訪問控制

漏洞描述

未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問許可權等。

滲透測試

① 登入後，通過burpsuite 抓取相關url 鏈接，獲取到url 鏈接之後，在另一個瀏覽器打開相關鏈接，看能夠通過另一個未登入的瀏覽器直接訪問該功能點。

② 使用A用戶登陸，然後在另一個瀏覽器使用B用戶登陸，使用B訪問A獨有的功能，看能否訪問。

風險評級：高風險

安全建議

① 除公有資源外，默認情況下拒絕訪問非本人所有的私有資源；

② 對API和控制器的訪問進行速率限制，以最大限度地降低自動化攻擊工具的危害；

③ 當用戶注銷後，伺服器上的Cookie，JWT等令牌應失效；

④ 對每一個業務請求，都進行許可權校驗。

12、安全配置錯誤

漏洞描述

應用程序缺少適當的安全加固，或者雲服務的許可權配置錯誤。

① 應用程序啟用或安裝了不必要的功能（例如：不必要的埠、服務、網頁、帳戶或許可權）。

② 默認帳戶的密碼仍然可用且沒有更改。

③ 錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。

④ 對於更新的系統，禁用或不安全地配置最新的安全功能。

⑤ 應用程序伺服器、應用程序框架（如：Struts、Spring、ASP.NET）、庫文件、資料庫等沒有進行相關安全配置。

滲透測試

先對應用指紋等進行信息搜集，然後針對搜集的信息，看相關應用默認配置是否有更改，是否有加固過；埠開放情況，是否開放了多餘的埠；

風險評級：中風險

安全建議

搭建最小化平台，該平台不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。在所有環境中按照標準的加固流程進行正確安全配置。

13、使用含有已知漏洞的組件

漏洞描述

使用了不再支持或者過時的組件。這包括：OS、Web伺服器、應用程序伺服器、資料庫管理系統（DBMS）、應用程序、API和所有的組件、運行環境和庫。

滲透測試

① 根據前期信息搜集的信息，查看相關組件的版本，看是否使用了不在支持或者過時的組件。一般來說，信息搜集，可通過http返回頭、相關錯誤信息、應用指紋、埠探測（Nmap）等手段搜集。

② Nmap等工具也可以用於獲取操作系統版本信息

③ 通過CVE，CNVD等平台可以獲取當前組件版本是否存在漏洞

風險評級：按照存在漏洞的組件的安全風險值判定當前風險。

安全建議

① 移除不使用的依賴、不需要的功能、組件、文件和文檔；

② 僅從官方渠道安全的獲取組件(盡量保證是最新版本)，並使用簽名機制來降低組件被篡改或加入惡意漏洞的風險；

③ 監控那些不再維護或者不發布安全補丁的庫和組件。如果不能打補丁，可以考慮部署虛擬補丁來監控、檢測或保護。
詳細學習可參考：