二、因设置或设计上的缺点引发的安全漏洞
因设置或设计上的缺点引发的安全漏洞是指,谬误设置Web服务器,或由设计上的一些问题引发的安全漏洞。
1 强制浏览
强制浏览(Forced Browsing)安全漏洞是指,从安置在Web服务器的公开目录下的文件中,浏览那些赝本非被迫公开的文件。
强制浏览有可能会造成以下一些影响。
- 泄露顾客的个人信息
- 泄露本来须要具备拜访权限的内容
- 泄露未凋谢的文件
对那些本来不愿公开的文件,为保障平安会暗藏URL。可一旦晓得了那些URL,也就意味着可浏览URL对应的文件。间接显示容易揣测的文件名或文件目录索引时,通过某种办法可能使URL产生泄露。
2 不正确的谬误音讯解决
不正确的谬误音讯解决(Error Handling Vunerability)的安全漏洞是指,Web利用的错误信息内蕴含对攻击者有用的信息。与Web利用无关的次要错误信息有:
- Web利用抛出谬误音讯
- 数据库等零碎抛出谬误音讯
Web利用不用在用户的浏览画面上展现具体的谬误音讯。对攻击者来说,具体的谬误音讯可能会给他们下一次攻打提醒。
2.1 不正确的谬误音讯解决案例
- 零碎提醒:‘邮件地址未注册’、‘明码谬误’、‘账号谬误’等提醒谬误类音讯。
- SQL相干谬误返回申请体中展现
3 凋谢重定向
凋谢重定向(Open Redirect)是一种对指定的任意URL作为重定向跳转的性能。而与此性能相关联的安全漏洞是指,如果指定的重定向URL到某个具备歹意Web网站,那么用户就会被诱导到那个Web网站。
3.1 凋谢重定向攻打案例
例如有网站的重定向url为:
http://example.com/?redirect=http://www.tricorder.com
攻击者把重定向的参数批改成设好陷阱的Web网站:
http://example.com/?redirect=http://hackr.com
凋谢重定向性能,很有可能被攻击者作为钓鱼的跳板。