3Years - TotoroLMva 浪迹在上海的信息安全大学狗 我信仰的是信仰

分类 奇技淫巧 下的文章

05月 24

漏洞练习平台总结

原文地址:https://www.cnblogs.com/hotboy/p/6396387.html

漏洞及渗透练习平台:

 WebGoat漏洞练习环境

https://github.com/WebGoat/WebGoat

https://github.com/WebGoat/WebGoat-Legacy

 

Damn Vulnerable Web Application(漏洞练习平台)

https://github.com/RandomStorm/DVWA

 

数据库注入练习平台  

https://github.com/Audi-1/sqli-labs

 

用node编写的漏洞练习平台,like OWASP Node Goat

https://github.com/cr0hn/vulnerable-node

 

花式扫描器 :

端口扫描器Nmap

https://github.com/nmap/nmap

 

本地网络扫描器

https://github.com/SkyLined/LocalNetworkScanner

 

子域名扫描器

https://github.com/lijiejie/subDomainsBrute

 

漏洞路由扫描器

https://github.com/jh00nbr/Routerhunter-2.0

 

 

迷你批量信息泄漏扫描脚本

https://github.com/lijiejie/BBScan

 

Waf类型检测工具

https://github.com/EnableSecurity/wafw00f

 

信息搜集工具 :

社工插件,可查找以email、phone、username的注册的所有网站账号信息

https://github.com/n0tr00t/Sreg

 

Github信息搜集,可实时扫描查询git最新上传有关邮箱账号密码信息

https://github.com/sea-god/gitscan

 

github Repo信息搜集工具

https://github.com/metac0rtex/GitHarvester

 

WEB:

webshell大合集

https://github.com/tennc/webshell

 

渗透以及web攻击脚本

https://github.com/brianwrf/hackUtils

 

web渗透小工具大合集

https://github.com/rootphantomer/hack_tools_for_me

 

XSS数据接收平台

https://github.com/firesunCN/BlueLotus_XSSReceiver

 

XSS与CSRF工具

https://github.com/evilcos/xssor

 

Short for command injection exploiter,web向命令注入检测工具

https://github.com/stasinopoulos/commix

 

数据库注入工具

https://github.com/sqlmapproject/sqlmap

 

Web代理,通过加载sqlmap api进行sqli实时检测

https://github.com/zt2/sqli-hunter

 

新版中国菜刀

https://github.com/Chora10/Cknife

 

.git泄露利用EXP

https://github.com/lijiejie/GitHack

 

浏览器攻击框架

https://github.com/beefproject/beef

 

自动化绕过WAF脚本

https://github.com/khalilbijjou/WAFNinja

 

http命令行客户端,可以从命令行构造发送各种http请求(类似于Curl)

https://github.com/jkbrzt/httpie

 

浏览器调试利器

https://github.com/firebug/firebug

 

一款开源WAF

https://github.com/SpiderLabs/ModSecurity

 

windows域渗透工具:

windows渗透神器

https://github.com/gentilkiwi/mimikatz

 

Powershell渗透库合集

https://github.com/PowerShellMafia/PowerSploit

 

Powershell tools合集

https://github.com/clymb3r/PowerShell

 

Fuzz:
Web向Fuzz工具

https://github.com/xmendez/wfuzz

 

HTTP暴力破解,撞库攻击脚本

https://github.com/lijiejie/htpwdScan

 

漏洞利用及攻击框架:

msf

https://github.com/rapid7/metasploit-framework

 

Poc调用框架,可加载Pocsuite,Tangscan,Beebeeto等

https://github.com/erevus-cn/pocscan

 

Pocsuite

https://github.com/knownsec/Pocsuite

 

Beebeeto

https://github.com/n0tr00t/Beebeeto-framework

 

漏洞POC&EXP:

ExploitDB官方git版本

https://github.com/offensive-security/exploit-database

 

php漏洞代码分析

https://github.com/80vul/phpcodz

 

Simple test for CVE-2016-2107

https://github.com/FiloSottile/CVE-2016-2107

 

CVE-2015-7547 POC

https://github.com/fjserna/CVE-2015-7547

 

JAVA反序列化POC生成工具

https://github.com/frohoff/ysoserial

 

JAVA反序列化EXP

https://github.com/foxglovesec/JavaUnserializeExploits

 

Jenkins CommonCollections EXP

https://github.com/CaledoniaProject/jenkins-cli-exploit

 

CVE-2015-2426 EXP (windows内核提权)

https://github.com/vlad902/hacking-team-windows-kernel-lpe

 

use docker to show web attack(php本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示)

https://github.com/hxer/vulnapp

 

php7缓存覆写漏洞Demo及相关工具

https://github.com/GoSecure/php7-opcache-override

 

XcodeGhost木马样本

https://github.com/XcodeGhostSource/XcodeGhost

 

中间人攻击及钓鱼
中间人攻击框架

https://github.com/secretsquirrel/the-backdoor-factory

https://github.com/secretsquirrel/BDFProxy

https://github.com/byt3bl33d3r/MITMf

 

Inject code, jam wifi, and spy on wifi users

https://github.com/DanMcInerney/LANs.py

 

可扩展的中间人代理工具

https://github.com/intrepidusgroup/mallory

 

wifi钓鱼

https://github.com/sophron/wifiphisher

 

密码破解:

密码破解工具

https://github.com/shinnok/johnny

 

本地存储的各类密码提取利器

https://github.com/AlessandroZ/LaZagne

 

二进制及代码分析工具:

二进制分析工具

https://github.com/devttys0/binwalk

 

系统扫描器,用于寻找程序和库然后收集他们的依赖关系,链接等信息

https://github.com/quarkslab/binmap

 

rp++ is a full-cpp written tool that aims to find ROP sequences in PE/Elf/Mach-O (doesn't support the FAT binaries) x86/x64 binaries.

https://github.com/0vercl0k/rp

 

Windows Exploit Development工具

https://github.com/lillypad/badger

 

二进制静态分析工具(python)

https://github.com/bdcht/amoco

 

Python Exploit Development Assistance for GDB

https://github.com/longld/peda

 

对BillGates Linux Botnet系木马活动的监控工具

https://github.com/ValdikSS/billgates-botnet-tracker

 

木马配置参数提取工具

https://github.com/kevthehermit/RATDecoders

 

Shellphish编写的二进制分析工具(CTF向)

https://github.com/angr/angr

 

针对python的静态代码分析工具

https://github.com/yinwang0/pysonar2

 

一个自动化的脚本(shell)分析工具,用来给出警告和建议

https://github.com/koalaman/shellcheck

 

基于AST变换的简易Javascript反混淆辅助工具

https://github.com/ChiChou/etacsufbo

 

EXP编写框架及工具:

二进制EXP编写工具

https://github.com/t00sh/rop-tool

 

CTF Pwn 类题目脚本编写框架

https://github.com/Gallopsled/pwntools

 

an easy-to-use io library for pwning development

https://github.com/zTrix/zio

 

跨平台注入工具( Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.)

https://github.com/frida/frida

 

隐写:

隐写检测工具

https://github.com/abeluck/stegdetect

 

各类安全资料:

域渗透教程

https://github.com/l3m0n/pentest_study

 

python security教程(原文链接http://www.primalsecurity.net/tutorials/python-tutorials/)

https://github.com/smartFlash/pySecurity

 

data_hacking合集

https://github.com/ClickSecurity/data_hacking

 

mobile-security-wiki

https://github.com/exploitprotocol/mobile-security-wiki

 

书籍《reverse-engineering-for-beginners》

https://github.com/veficos/reverse-engineering-for-beginners

 

一些信息安全标准及设备配置

https://github.com/luyg24/IT_security

 

APT相关笔记

https://github.com/kbandla/APTnotes

 

Kcon资料

https://github.com/knownsec/KCon

 

ctf及黑客资源合集

https://github.com/bt3gl/My-Gray-Hacker-Resources

 

ctf和安全工具大合集

https://github.com/zardus/ctf-tools

 

《DO NOT FUCK WITH A HACKER》

https://github.com/citypw/DNFWAH

 

各类CTF资源
近年ctf writeup大全

https://github.com/ctfs/write-ups-2016

https://github.com/ctfs/write-ups-2015

https://github.com/ctfs/write-ups-2014

 

fbctf竞赛平台Demo

https://github.com/facebook/fbctf

 

ctf Resources

https://github.com/ctfs/resources

 

各类编程资源:

大礼包(什么都有)

https://github.com/bayandin/awesome-awesomeness

 

bash-handbook

https://github.com/denysdovhan/bash-handbook

 

python资源大全

https://github.com/jobbole/awesome-python-cn

 

git学习资料

https://github.com/xirong/my-git

 

安卓开源代码解析

https://github.com/android-cn/android-open-project-analysis

 

python框架,库,资源大合集

https://github.com/vinta/awesome-python

 

JS 正则表达式库(用于简化构造复杂的JS正则表达式)

https://github.com/VerbalExpressions/JSVerbalExpressions

 

Python:
python 正则表达式库(用于简化构造复杂的python正则表达式)

https://github.com/VerbalExpressions/PythonVerbalExpressions

 

python任务管理以及命令执行库

https://github.com/pyinvoke/invoke

 

python exe打包库

https://github.com/pyinstaller/pyinstaller

 

py3 爬虫框架

https://github.com/orf/cyborg

 

一个提供底层接口数据包编程和网络协议支持的python库

https://github.com/CoreSecurity/impacket

 

python requests 库

https://github.com/kennethreitz/requests

 

python 实用工具合集

https://github.com/mahmoud/boltons

 

python爬虫系统

https://github.com/binux/pyspider

 

ctf向 python工具包

https://github.com/P1kachu/v0lt

 

科学上网:

科学上网工具

https://github.com/XX-net/XX-Net

 

福利:

微信自动抢红包动态库

https://github.com/east520/AutoGetRedEnv

 

微信抢红包插件(安卓版)

https://github.com/geeeeeeeeek/WeChatLuckyMoney

 

神器

https://github.com/yangyangwithgnu/hardseed
05月 09

大牛总结的Window提权Exp合集

项目下载地址;https://github.com/SecWiki/windows-kernel-exploits
漏洞列表
 
#Security Bulletin   #KB     #Description    #Operating System
 
CVE-2017-0213  [Windows COM Elevation of Privilege Vulnerability]  (windows 10/8.1/7/2016/2010/2008)
MS17-010  [KB4013389]  [Windows Kernel Mode Drivers]  (windows 7/2008/2003/XP)
MS16-135  [KB3199135]  [Windows Kernel Mode Drivers]  (2016)
MS16-098  [KB3178466]  [Kernel Driver]  (Win 8.1)
MS16-075  [KB3164038]  [Hot Potato]  (2003/2008/7/8/2012)
MS16-032  [KB3143141]  [Secondary Logon Handle]  (2008/7/8/10/2012)
MS16-016  [KB3136041]  [WebDAV]  (2008/Vista/7)
MS15-097  [KB3089656]  [remote code execution]  (win8.1/2012)
MS15-076  [KB3067505]  [RPC]  (2003/2008/7/8/2012)
MS15-077  [KB3077657]  [ATM]  (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061  [KB3057839]  [Kernel Driver]  (2003/2008/7/8/2012)
MS15-051  [KB3057191]  [Windows Kernel Mode Drivers]  (2003/2008/7/8/2012)
MS15-010  [KB3036220]  [Kernel Driver]  (2003/2008/7/8)
MS15-015  [KB3031432]  [Kernel Driver]  (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001  [KB3023266]  [Kernel Driver]  (2008/2012/7/8)
MS14-070  [KB2989935]  [Kernel Driver]  (2003)
MS14-068  [KB3011780]  [Domain Privilege Escalation]  (2003/2008/2012/7/8)
MS14-058  [KB3000061]  [Win32k.sys]  (2003/2008/2012/7/8)
MS14-040  [KB2975684]  [AFD Driver]  (2003/2008/2012/7/8)
MS14-002  [KB2914368]  [NDProxy]  (2003/XP)
MS13-053  [KB2850851]  [win32k.sys]  (XP/Vista/2003/2008/win 7)
MS13-046  [KB2840221]  [dxgkrnl.sys]  (Vista/2003/2008/2012/7)
MS13-005  [KB2778930]  [Kernel Mode Driver]  (2003/2008/2012/win7/8)
MS12-042  [KB2972621]  [Service Bus]  (2008/2012/win7)
MS12-020  [KB2671387]  [RDP]  (2003/2008/7/XP)
MS11-080  [KB2592799]  [AFD.sys]  (2003/XP)
MS11-062  [KB2566454]  [NDISTAPI]  (2003/XP)
MS11-046  [KB2503665]  [AFD.sys]  (2003/2008/7/XP)
MS11-011  [KB2393802]  [kernel Driver]  (2003/2008/7/XP/Vista)
MS10-092  [KB2305420]  [Task Scheduler]  (2008/7)
MS10-065  [KB2267960]  [FastCGI]  (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059  [KB982799]   [ACL-Churraskito]  (2008/7/Vista)
MS10-048  [KB2160329]  [win32k.sys]  (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015  [KB977165]   [KiTrap0D]  (2003/2008/7/XP)
MS09-050  [KB975517]   [Remote Code Execution]  (2008/Vista)
MS09-020  [KB970483]   [IIS 6.0]  (IIS 5.1 and 6.0)
MS09-012  [KB959454]   [Chimichurri]  (Vista/win7/2008/Vista)
MS08-068  [KB957097]   [Remote Code Execution]  (2000/XP)
MS08-067  [KB958644]   [Remote Code Execution]  (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025  [KB941693]   [Win32.sys]  (XP/2003/2008/Vista)
MS06-040  [KB921883]   [Remote Code Execution]  (2003/xp/2000)
MS05-039  [KB899588]   [PnP Service]  (Win 9X/ME/NT/2000/XP/2003)
MS03-026  [KB823980]   [Buffer Overrun In RPC Interface]  (/NT/2000/XP/2003)
04月 18

应急响应相关文章

1、黑客入侵应急分析手工排查

https://xianzhi.aliyun.com/forum/read/1655.html

 

2、Web日志安全分析浅谈

https://xianzhi.aliyun.com/forum/read/1723.html

 

3、应急响应分析技术讨论

https://threathunter.org/topic/5947750c2cc7eb8464e32bd3

 

4、某日应急响应小记

https://threathunter.org/topic/5943a99c1e3732874e23f996
11月 30

Docker常用命令

最近折腾了很久docker,中间学习到了不少,备注一些常用命令吧。
导入本地镜像

docker load -i /../../../../xxx.tar 

使用已有镜像启动容器

docker run --name XXX(启动后的容器名称)-p 0.0.0.0:8002(物理机端口):80(镜像端口) -d XXX(使用的镜像名称)

进入某个容器

docker exec -it XXX(容器ID) /bin/bash

查看容器端口

docker port XXX(容器ID)

查看所有容器

docker ps -a

删除容器

docker rm -f XXX(容器ID)

重启/关闭/启动容器

docker restart/stop/start XXX(容器ID)

搜索镜像

docker search XXX(搜索关键字)
08月 24

常见漏洞类型汇总

一、SQL注入漏洞

    SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

   通常情况下,SQL注入的位置包括:

 (1)表单提交,主要是POST请求,也包括GET请求;

 (2)URL参数提交,主要为GET请求参数;

 (3)Cookie参数提交;

 (4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

 (5)一些边缘的输入点,比如.mp3文件的一些文件信息等。

  SQL注入的危害不仅体现在数据库层面上,还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马,还可能用来传播恶意软件等,这些危害包括但不局限于:

  (1)数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。作为数据的存储中心,数据库里往往保存着各类的隐私信息,SQL注入攻击能导致这些隐私信息透明于攻击者。

  (2)网页篡改:通过操作数据库对特定网页进行篡改。

  (3)网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。

  (4)数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被篡改。

  (5)服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。

  (6)破坏硬盘数据,瘫痪全系统。

     解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。 通常使用的方案有:

   (1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。

   (2)对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换。

   (3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

   (4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。

    (5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

    (6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

    (7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。

    (8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

二、跨站脚本漏洞

   
       跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。

       XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。

      XSS类型包括:

    (1)非持久型跨站:即反射型跨站脚本漏洞,是目前最普遍的跨站类型。跨站代码一般存在于链接中,请求这样的链接时,跨站代码经过服务端反射回来,这类跨站的代码不存储到服务端(比如数据库中)。上面章节所举的例子就是这类情况。

    (2)持久型跨站:这是危害最直接的跨站类型,跨站代码存储于服务端(比如数据库中)。常见情况是某用户在论坛发贴,如果论坛没有过滤用户输入的Javascript代码数据,就会导致其他浏览此贴的用户的浏览器会执行发贴人所嵌入的Javascript代码。

    (3)DOM跨站(DOM XSS):是一种发生在客户端DOM(Document Object Model文档对象模型)中的跨站漏洞,很大原因是因为客户端脚本处理逻辑导致的安全问题。

       XSS的危害包括:

    (1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

    (2)网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

    (3)身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

    (4)盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。

    (5)垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

    (6)劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

    (7)XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

     常用的防止XSS技术包括:

    (1)与SQL注入防护的建议一样,假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。

    (2)不仅要验证数据的类型,还要验证其格式、长度、范围和内容。

     (3)不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

     (4)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

     (5)在发布应用程序之前测试所有已知的威胁。

三、弱口令漏洞

      弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则:

   (1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。

   (2)口令长度不小于8个字符。

    (3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

    (4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

    (5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

   (6)口令不应该为用数字或符号代替某些字母的单词。

   (7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。

    (8)至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。

四、HTTP报头追踪漏洞

    HTTP/1.1(RFC2616)规范定义了HTTP TRACE方法,主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。当Web服务器启用TRACE时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中HTTP头很可能包括Session Token、Cookies或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击,由于HTTP TRACE请求可以通过客户浏览器脚本发起(如XMLHttpRequest),并可以通过DOM接口来访问,因此很容易被攻击者利用。

    防御HTTP报头追踪漏洞的方法通常禁用HTTP TRACE方法。

五、Struts2远程命令执行漏洞

    Apache Struts是一款建立Java web应用程序的开放源代码架构。Apache Struts存在一个输入过滤错误,如果遇到转换错误可被利用注入和执行任意Java代码。

    网站存在远程代码执行漏洞的大部分原因是由于网站采用了Apache Struts Xwork作为网站应用框架,由于该软件存在远程代码执高危漏洞,导致网站面临安全风险。CNVD处置过诸多此类漏洞,例如:“GPS车载卫星定位系统”网站存在远程命令执行漏洞(CNVD-2012-13934);Aspcms留言本远程代码执行漏洞(CNVD-2012-11590)等。

    修复此类漏洞,只需到Apache官网升级Apache Struts到最新版本:http://struts.apache.org

六、框架钓鱼漏洞(框架注入漏洞)

    框架注入攻击是针对Internet Explorer 5、Internet Explorer 6、与 Internet Explorer 7攻击的一种。这种攻击导致Internet Explorer不检查结果框架的目的网站,因而允许任意代码像Javascript或者VBScript跨框架存取。这种攻击也发生在代码透过多框架注入,肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。

    如果应用程序不要求不同的框架互相通信,就可以通过完全删除框架名称、使用匿名框架防止框架注入。但是,因为应用程序通常都要求框架之间相互通信,因此这种方法并不可行。 因此,通常使用命名框架,但在每个会话中使用不同的框架,并且使用无法预测的名称。一种可行的方法是在每个基本的框架名称后附加用户的会话令牌,如main_display。

七、文件上传漏洞

     文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。

    因此,在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。

八、应用程序测试脚本泄露

    由于测试脚本对提交的参数数据缺少充分过滤,远程攻击者可以利用洞以WEB进程权限在系统上查看任意文件内容。防御此类漏洞通常需严格过滤提交的数据,有效检测攻击。

九、私有IP地址泄露漏洞

    IP地址是网络用户的重要标示,是攻击者进行攻击前需要了解的。获取的方法较多,攻击者也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。最有效的办法是截获并分析对方的网络数据包。攻击者可以找到并直接通过软件解析截获后的数据包的IP包头信息,再根据这些信息了解具体的IP。

    针对最有效的“数据包分析方法”而言,就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点,譬如:耗费资源严重,降低计算机性能;访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理,由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。虽然代理可以有效地隐藏用户IP,但攻击者亦可以绕过代理,查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。

十、未加密登录请求

    由于Web配置不安全,登陆请求把诸如用户名和密码等敏感字段未加密进行传输,攻击者可以窃听网络以劫获这些敏感信息。建议进行例如SSH等的加密后再传输。

十一、敏感信息泄露漏洞

   SQL注入、XSS、目录遍历、弱口令等均可导致敏感信息泄露,攻击者可以通过漏洞获得敏感信息。针对不同成因,防御方式不同。