威脅web應用安全的錯誤

通常絕大部分的web應用攻擊都是沒特定目標的大範圍漏洞掃描，只有少數攻擊確實是爲入侵特定目標而進行的針對性嘗試。這兩種攻擊都很是頻繁，難以準確檢測出來，許多網站的web應用防火牆都沒法保證可以有效運行。有一些被忽略的安全錯誤可能會威脅到web應用的安全。

存在的SQL注入漏洞 SQL注入依然還活躍着，安全監控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最廣泛的Web攻擊方式，佔該公司客戶報告事件的55%。不要存僥倖心理以爲SQL注入已經不存在了。 不安全的反序列話 反序列化過程就是應用接受序列化對象並將其還原的過程。若是序列化過程不安全，可能會出現大問題。Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速擡頭，2017年最後3個月裏增加了300%，多是受非法加密貨幣挖礦活動的驅動。 該不安全性可輕易致使Web應用暴露在遠程代碼執行的威脅之下——攻擊者戰術手冊中排名第二的攻擊技術。開放Web應用安全計劃(OWASP)去年將不安全反序列化歸入其十大漏洞列表的緣由之一正在於此。不安全反序列化可形成什麼後果呢？最鮮明的例子就是Equifax大規模數據泄露事件——據稱就是應用不安全反序列化漏洞發起的。 未使用內容安全策略組織跨站腳本 XSS是往帶漏洞web應用中出入惡意代碼的常見手段。XSS的目標不是web應用，而是使用web應用的用戶。組織XSS最有效的方法是使用內容安全策略（CSP），這一技術發展良好但仍未被大多數網站採納。

信息泄漏，50%的應用都有某種信息泄露漏洞。這些漏洞會將有關應用自己、應用所處環境或應用用戶的信息暴露給黑客，供黑客進行進一步的攻擊。信息泄漏能夠是用戶名/口令泄漏，也能夠是軟件版本號暴露。一般從新配置一下就能堵上漏洞，但緩解過程卻每每視泄漏數據的種類耳釘。問題在於，即使是軟件版本號泄漏了，也可以給黑客帶來攻擊上的優點。