notwasp底部10:让你哭泣的漏洞

每个人都听说过OWASP前10名——这是每个web开发者都应该意识到的经常被引用的主要威胁列表。beplay体育能用吗但是如果你把目光投向测试报告和bug赏金发现,你会发现另一个潜在的主题出现了:毫无意义的“漏洞”。

为什么?它变化。有些只是误解,甚至只是乞讨。其他问题曾经是重大的问题,被浏览器更新所粉碎,但仍然存在一个不为人知的半衰期。有些是政策的产物,在这些政策中,理智被留在了门外。还有老式的填充物。最后,有时候,我们真的不知道。

尽管如此,每个人都喜欢列表,所以我们建立了一个不可数可怕漏洞的候选名单,并且在漫长的辩论之后,让它贬低它......nOtWASP底10

10.过多的并发会议

Michael:Gmail和Facebook会议持续多年,您可以同时从不同的设备访问它们。如果您不想为您的用户提供这种便利,可以实现会话超时,以便在不活动五分钟后记录它们。

现在设想这样一个场景:您需要提交一个转账请求,银行要求您填写一个在线表单,其中包含12个不同的输入字段。你切换到另一个页面来追踪一些细节,验证他们三次,然后查看Reddit仅仅一秒钟。当你终于有时间提交表单时,你得到一个错误,说你的会话不再有效。你可能会重来一次,因为你不得不这样做,但你可能不会很快给你的银行5星评级。

所有开玩笑,它有点双刃剑:会话超时可以预防一些XSS剥削,但您越多需要输入密码,每次要支付的关注越少。最终,这可能会增加某人在恶意页面上不小心键入密码的机会。

9.无用信息披露

詹姆斯:一些信息披露是宝贵的。在远方,假设的场景之外,其他信息近无用,但仍然每天报道。我最喜欢的例子是“服务器:apache”。这种令人难以置信的鲁莽的横幅为众多的黑客打开了洪水门,否则是完全不可能的。没有人可能猜测Web服务器可能正在运行Apache,或使用53个替代技beplay体育能用吗术之一的指纹。不幸的是,报复性开发商不会让你禁用它,因此您需要部署反向代理。别担心,永不震撼。

8.缺少速率限制/验证码

迈克尔:“攻击者可以利用这个漏洞炸毁受害者的电子邮件收件箱——一份关于HackerOne的报告是这么说的,这份报告被寄给了一个政府项目。在最初的报告发布一个月后,23条关于如何重现漏洞的信息被来回发送。解决方案已经部署,10人参与:纳税人的钱花得很值,对吧?让我们再发一封邮件…

虽然Brute-Forcing的一次性密码可能会毁灭,但这并不意味着每个单个应用端点都应该限制来自一个IP的传入连接的数量。如果请求只会在应用程序上创建工作负载,您真的需要解决它吗?每一个修复都需要注意,工程时间,测试时间,有时甚至介绍新的错误。没有立即影响的速率限制(除了DOS除外)通常被排除在Bug奖励之外,因为它缺乏风险与修复成本阈值。

7. CSV注射没有影响

詹姆斯:我需要个人为这个道歉。当我提出CSV注射作为漏洞的漏洞时,我设想将恶意公式注入恶意公式,以防止电子表格的敏感信息。但是,在研究期间,如果受害者点击多个可怕警告,则发现了在Excel中执行任意代码的公式。结果?几乎与CSV导出功能的任何网站都困扰着报告。抱歉。

https://www.contextis.com/en/blog/comma-separated-vulnerabilities

6. CVE-XXXX未指定组件中的未指定漏洞

迈克尔:报告一个问题基于您所识别的弱势软件版本没有任何问题,但很容易在数千个这些报告中陷入困境。只需一小部分在当前条件下,它们实际上就是可以在用户输入的情况下进行的。努力找到1%的可利用和正确优先顺序,但这就是公司想要支付的。扫描已知漏洞通常只是第一步;真正的值是通过报告验证的问题并具有明确的开发向量的问题来创建。

5. EX-XSS

加雷思:第5个是那些不再有效的经典XSS向量。我说的是document.write(location.pathname),其中的路径总是现代浏览器中编码的URL,或者是内容类型为纯文本或json时的内容嗅探。作为研究人员,我们怀念IE是多么混乱,我们有很多办法来开发Internet explorer。但现在,除非用户决定玩类似俄罗斯轮盘赌的游戏,用过时的ie浏览器浏览一个URL,看看他们是否被拥有,否则这些向量已经死了。不幸的是,这并不能阻止漏洞赏金猎人在他们的拷贝和粘贴报告从扫描仪,所以EX-XSS稳居第5位。

4.缺少安全标题

Michael:在2021年,你不能只写“Hello World”,把它保存到index.html,然后用nginx的默认配置提供它。你可能会被各种报告淹没:


讽刺的一边,而安全头像CSP.为您的网站提供良好的额外保护,它们并不一定需要在每个页面上都存在,如上面的无辜示例中。beplay体育能用吗

3. Tabnabbing.

加雷思:Tabnabbing太差劲了,肯定是出于绝望才造出来的。基本的想法是,你点击一个链接,一个新的标签打开在一个合法的网站,然后你浏览一段时间,该网站打开了合法的网站改变它到一个钓鱼页面使用窗口。beplay体育能用吗我告诉过你那很烂。

反向制表- OMG有两种类型,我知道。通过改变打开攻击者控制的站点的页面的URL,滥用target=_blank工作。其目的是在关闭攻击者控制的页面时,欺骗您登录钓鱼网站。值得庆幸的是,浏览器将通过设置窗口来结束错误奖励的痛苦。默认情况下使用noopener将target=_blank链接的Opener设置为null。

2.失踪httponly国旗

詹姆斯:多年来,我已经观察了一个特殊的现象。当安全措施与设置HTTP标题或Cookie标志一样简单时,它很快吸引了狂热的狂热粉丝,他们必须在可能的地方使用。然后,他们的原因是任何未能应用这些措施中的任何网站都必须具有可怕的安全性。

Httponly cookie标志只是这样的粉丝群。设计为减轻XSS来通过停止武士武士以窃取会话饼干,它几乎没用,因为Cookie盗窃是一种嘈杂和不切实际的剥削方法,无论如何,攻击者永远不会打扰它。不幸的是,Fanbase不知道这一点,而且也无法识别会话cookie,因此您最好将其应用于每个饼干或愤怒的风险。

https://beplay官网可以赌portswigger.nebeplay体育能用吗t/research/web-storage-the-lesser-evil-for-session-tokens

这也可能会出现一些方法来解释无用的CSP头的普遍性,这看起来非常令人恐惧,直到找到魔术短语“脚本-SRC不安全内联”。

1.没有设置自动完成=

詹姆斯:这是一致的胜利者,让我们打破它:


最终结果?大多数网站浪费努力,让一切忽略,有些积极使他们的安全变得更糟。

还有一件事

此时,你们中的一些人可能会考虑指向我们的手指,如bepaly下载 报告其中很多。这比你可能期望的更多思考。相对于我们的许多竞争对手,我们有一个特别熟练的用户群,我们利用这一点的方式是通过报告/可能/是危险的行为,并信任用户的判断而不是冒着假底片的风险。当然,如果你要求我们命名这个方法的一个例子,我们可能会选择类似于可疑的输入转换的东西,这是未玷污的......现在。

https://beplay官网可以赌www.muteki-anime.com/kb/issues/00400d00_suspicious-input-transformation-reflected
https://beplay官网可以赌www.muteki-anime.com/research/backslash-powered-scanning-hunting-unknown-vulnerability-classes

这个高质量的帖子是整个的beplay官网可以赌Portswigger研究团队

返回所有文章

相关研究

推荐故事来自每日Swigbeplay2018官网