当前位置：首页 > news >正文

web 应用常见的安全问题

news 2026/3/28 1:17:23

一xss攻击

人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本，其导致的危害可想而知，如劫持用户会话，插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫，甚至破坏网站、修改路由器配置信息等。 XSS漏洞可以追溯到上世纪90年代。大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞，如Twitter、Facebook、MySpace、Orkut、新浪微博和百度贴吧。研究表明，最近几年XSS已经超过缓冲区溢出成为最流行的攻击方式，有68%的网站可能遭受此类攻击。根据开放网页应用安全计划（Open Web Application Security Project）公布的2010年统计数据，在Web安全威胁前10位中，XSS排名第2，仅次于代码注入（Injection）

例如：

可以将内容部分全部替换成xss语句：

二水平越权访问

应用系统在处理同一功能业务时，未对数据和当前用户的权限进行合法性校验，导致用户可越权访问、篡改、删除、添加其他同权限用户的信息，造成越权操作。常见如：访问任意用户订单、修改任意用户密码、删除任意用户信息等。

三接口信息泄露（高危）

随着前后端分离架构的优势越来越明显，前后端分离的应用场景也越来越广，为了前后端程序员在实际开发中能够有统一的接口文档去调试，因此也随着衍生出了很多API接口文档以及调试工具，如swagger、docway、yapi、Web Api HelpPage等。但是在使用过程中，如果不注意安全配置，很容易通过接口泄露敏感数据。

攻击者通过调用、未授权访问接口的方式，获取大量敏感信息，如接口存在文件上传功能的话，攻击者可以直接利用该漏洞获取服务器权限

四存在敏感信息泄露（高危）

比如在线用户手册上面暴露了具体用户的登录名密码等，或者人员的真实身份信息敏感信息等

五存在未授权访问（高危）

应用系统对业务功能页面未进行有效的身份校验，在未登录且获知业务功能页面的访问地址前提下，直接访问未授权的页面、目录或资源，获取系统中的敏感信息或进行非法操作

六存在垂直越权漏洞（高危）

例如：

拦截获取日志信息的数据包，我们只需要将请求的接口路径、接口参数等数据包拼接进入普通用户的数据包中即可垂直越权，也就是普通用户可以通过路径访问运营管理人员的数据，可以查看后台管理员信息

七存在任意文件上传

文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统，但这些文件可能并没有经过充分的验证，如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件，里面甚至包括远程代码执行的服务器端脚本文件

例如:

没有后缀限制，可以上传任意文件传脚本文件，上传html文件等：

此问题修复意见

1. 根据允许扩展名的白名单而不是禁止扩展名的黑名单来检查文件扩展名，猜测希望允许哪些扩展比猜测攻击者可能尝试上传哪些扩展要容易的多。

2. 确保文件名不包含任何可能被解释为目录或遍历序列（../）的子字符串。

3. 重命名上传的文件以避免可能导致现有文件被覆盖的冲突。

4. 在完全验证之前不要将文件上传到服务器的文件系统中。

5. 尽可能使用已建立的框架来预处理文件上传，而不是尝试编写自己的验证机制。

web 应用常见的安全问题

相关文章：

web 应用常见的安全问题

502. IPO

如何安装MeterSphere并实现无公网ip远程访问服务管理界面

做FP独立站怎么引流？这个引流法宝收好了！

幻兽帕鲁PalWorld服务器搭建教程，1分钟开服，纯小白教程，无需基础

算法小抄01

Spring Boot 集成 API 文档 - Swagger、Knife4J、Smart-Doc

2024年软考报名时间及条件，小白必看

vue 跨域XMLHttpRequest

【正点原子STM32】STM32基础知识（F1F4F7H7 STM32系统框架、寻址范围、存储器映射的存储器功能划分、寄存器映射）

Oracle、MySQL数据库常规命令语法-简易记录（非常规持续更新）

用react搞定一个大模型对话效果

DP读书：在常工院的2023年度总结

2023-2024年重庆职业院校技能大赛“信息安全管理与评估”比赛样题

【Ubuntu】systemctl 命令

xinput1_3.dll文件的几种修复办法以及修复xinput1_3.dll注意事项

javaWebssh宠物基地管理系统myeclipse开发mysql数据库MVC模式java编程计算机网页设计

常用的gpt-4 prompt words收集3

为什么电脑降价了？

归并排序-逆序对

收藏！非计算机专业也能转AI大模型？小白/程序员必看，打消转行所有顾虑

全平台网络资源下载神器：一键获取微信视频号、抖音、QQ音乐等热门内容

VirtualBox虚拟机磁盘空间分配技巧：如何用动态分配40G空间玩转Debian 12

STM32CubeMX实战：5分钟搞定RTC定时唤醒低功耗设计（附LED状态检测技巧）

计算机毕业设计springboot在线病患管理系统基于SpringBoot的智慧医疗就诊服务平台设计与实现基于Java Web的医院数字化门诊住院一体化系统开发

语义通信：从理论到6G落地的关键技术演进与挑战

Qwen3.5-4B-Claude-Opus部署教程：模型路径软链失效时的容错加载机制

SGMICRO圣邦微 SGM6512YTS28G/TR TDFN-8L(2x2) 模拟开关/多路复用器

光纤布拉格光栅(FBG)笔记【2】：传感机制与布拉格波长调谐分析

华为MatePad 11鸿蒙2.0平板变身编程本：保姆级AidLux+VSCode配置避坑指南