10大常見的安全漏洞！你知道嗎？

衆所周知，黑客入侵、網絡攻擊以及其餘數字化安全漏洞歷來都有百害而無一利。一個行業的煩惱多是另外一個行業的噩夢——若是你讀過 Veracode 的《軟件安全報告聲明，卷6》，就會知道大多數安全漏洞在某些特定行業更爲頻繁。

1. 代碼質量問題

這個問題排在第一是有理由的。根據 Veracode 的研究，全部受調查企業提交的應用至少有半數存在代碼質量問題。雖然難以置信，這也是一種行動倡議：全部行業都應該切實執行安全編碼，好比早期的專家投入，頻繁且自動化的對問題進行排查等。

2. 加密問題

加密問題是最多見的安全漏洞之一，由於密碼學隱藏了重要的數據：若是密碼、支付信息或我的數據須要存儲或者傳輸，它們必須經過某種方法進行加密。密碼學也是一個自行其是的領域，白帽、黑帽專家不可勝數，所以，請找專家解決加密問題，而不是埋頭苦幹。以上都是常識。

3. 信息泄露

信息泄露的形式不少，但基本定義很是簡單：攻擊者或其餘人看到了不應看的信息，且該信息可形成危害（好比：發起注入攻擊，或盜取用戶數據）即爲信息泄露。由於信息泄露的形式變幻無窮，必須找一個真正謹慎的專家來處理。無需多言。

4. CRLF 注入

CRLF 注入，從基本層面來講，是一種更強大的攻擊方式。在乎想不到的位置添加行末命令，攻擊者能夠注入代碼進行破壞。根據 Veracode 的研究，這些破壞包括：網站篡改、跨站腳本攻擊、瀏覽器劫持等。儘管這類攻擊可能比其餘攻擊更容易防範，但如果忽視這一攻擊，就會釀成大禍。

5. 跨站腳本攻擊

另外一種注入攻擊——跨站腳本注入（也成爲 XSS 攻擊），可經過濫用網站內的動態內容以執行外部代碼實現。這類攻擊的後果包括：用戶帳戶劫持，Web 瀏覽器劫持等等。在包含容許輸入問號、斜槓等經常使用編碼字符的網站中，這類攻擊尤其常見。此 Veracode 博客詳細介紹了該攻擊的形式、後果，以及解決方法。

6. 目錄遍歷攻擊

目錄遍歷攻擊十分可怕，由於它不須要特定的工具或知識就能形成傷害。確實，只要有 Web 瀏覽器並掌握基本概念，任何人均可以對缺乏防備的網站發起攻擊，讀取大的文件系統並獲取其中包含的「乾貨」——用戶名與密碼、重要文件甚至網站或應用的源代碼。鑑於此類攻擊的門檻極低，強烈建議諮詢專業人員解決該問題。

7. 輸入驗證不足

簡單地說，妥善地處理並檢查輸入信息能確保用戶傳給服務器的數據不形成意外的麻煩。反之，若是輸入驗證不足，就會致使許多常見的安全漏洞，諸如惡意讀取或竊取數據，會話及瀏覽器劫持，惡意代碼運行等等。不要猜想用戶的輸入行爲，要以偏執的心態對待用戶輸入。

8. SQL 注入

儘管排名較低，SQL 注入因爲易於實現，已經成爲最多見的安全漏洞之一。同是注入攻擊，SQL 注入則專一於 SQL 查詢語句。攻擊者反覆地將這些查詢語句填入輸入欄，給用戶、網站管理員以及企業形成極大的麻煩。想了解更多信息？這篇 Veracode 博客對 SQL 注入有更爲詳細的說明。

9. 證書管理

當壞人未經受權進入安全系統時，就會有壞事發生。有時，這些壞事是此類入侵的直接結果；而別的時候，這類入侵會泄露一些信息，致使更大的攻擊。不管是哪一種狀況，在准許讀取重要信息時採起謹慎的措施以驗證身份，永遠都不是壞主意。

##10. 時間與狀態錯誤

這類漏洞最爲狡猾，是因爲分佈式計算的興起，多系統、多線程硬件等運行同時任務形成的。與其餘攻擊同樣，它也有多種形式，如果被攻擊者利用，執行未經受權的代碼，也會形成驗證的後果。此外，與多方面攻擊類似，必須求助專業協做才能防護這類漏洞。比較，你沒法抵禦你不能預測的攻擊。

保持系統安全

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。若是你想本身的應用在安全方面無懈可擊，不要羞於尋求幫助，真的出現漏洞，就爲時過晚了。OneRASP 應用安全防禦利器, 能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方博客