2024漏洞分类指北手册.pdf

2024漏洞分类指北手册

注入漏洞

SQL注入（SQLi）

参数：

-用户输入在包含在SQL查询中之前未经过正确的清理。

-在代码中动态生成SQL查询。

-使用连接字符串构建SQL查询。

-缺乏SQL查询的输入验证。

-查找从数据库检索数据或通信的任何用户输入！

应遵循的步骤：

1.识别Web表单或URL参数中的用户输入字段。

2.在这些字段中输入恶意SQL命令。

3.观察是否有任何SQL错误或意外行为。

4.如果出现错误或意外行为，则表明存在SQL注入漏洞。

5.尝试并测试不同的SQL注入技术（例如基于UNION、基于布尔或基于时间）来利

用该漏洞。

跨站脚本(XSS)

参数：

-缺乏输入验证和清理。

-将用户输入反射回网页，无需编码。

-内容安全策略(CSP)使用不当

-Web应用程序中缺乏正确的输出编码

-在没有适当过滤的情况下使用JavaScript等客户端脚本语言。

应遵循的步骤：

1.识别用户输入字段或网页上显示用户数据的区域。

2.在这些字段中输入脚本或JavaScript代码。

3.提交输入并观察脚本是否执行。

4.如果脚本执行，则表明存在XSS漏洞。

5.测试不同的XSS负载，例如scriptalert(XSS)/script或imgs

rc=javascript:alert(XSS)以利用该漏洞

人们可以使用BurpIntruder尝试多个有效负载并观察利用的响应。

跨站请求伪造(CSRF)

参数：

-敏感操作中缺少反CSRF令牌。

-缺乏对请求来源的验证。

1/40

-容易受到未经用户同意而执行未经授权的操作的请求的影响。

-未能实现cookie的SameSite属性。

再说安全-公众号

2024漏洞分类指北手册

应遵循的步骤：

1.识别敏感操作，例如更改密码或转移资金。

2.提交请求以从外部站点执行这些操作。

3.观察是否在未经用户同意的情况下执行操作。

4.如果未经同意执行操作，则表明存在CSRF漏洞。

5.为cookie实现防CSRF令牌和SameSite属性，以防止CSRF攻击。

远程代码执行(RCE)

参数：

-易受攻击的代码执行环境。

-数据的不安全反序列化。

-缺乏输入验证和清理。

-网络协议或服务的安全措施不足。

-攻击者执行任意代码。

遵循的步骤：

1.识别可以在服务器上执行代码的输入字段或参数，例如用户输入字段、HTTP请求参

数、表单数据、文件上传、API接口、数据库查询和服务器端脚本语言。

2.在这些字段中输入执行代码的有效负载或命令。

3.提交输入，观察代码是否执行。

4.如果出现代码执行，则表明存在RCE漏洞。

5.测试不同的RCE负载（例如命令注入或shell注入）以利用该漏洞。

命令注入

参数：

-缺乏系统命令的输入验证和清理。

-使用连接字符串来构造系统命令。

-攻击者执行任意命令。

-易受攻击的代码执行环境。

遵循的步骤：

1.识别用于执行系统命令的输入字段或参数。

2.在这些字段中输入执行任意命令的有效负载或命令。

2/40

3.提交输入并观察命令是否执行。

4.如果发生命令执行，则表明存在命令注入漏洞。

5.测试不同的命令注入有效负载。

XML注入

参数：

-缺乏XML数据的输入验证和清理。

-在XML解析器中使用不受信任的XML数据。

-攻击者执行恶意XML代码。

-易受攻击的XML处理库或框架。