2024漏洞分类指北手册 .docxVIP

2024漏洞分类指北手册

注入漏洞

SQL注入（SQLi）

参数：

-用户输入在包含在SQL查询中之前未经过正确的清理。-在代码中动态生成SQL查询。

-使用连接字符串构建SQL查询。-缺乏SQL查询的输入验证。

-查找从数据库检索数据或通信的任何用户输入！

应遵循的步骤：

1.识别Web表单或URL参数中的用户输入字段。2.在这些字段中输入恶意SQL命令。

3.观察是否有任何SQL错误或意外行为。

4.如果出现错误或意外行为，则表明存在SQL注入漏洞。

5.尝试并测试不同的SQL注入技术（例如基于UNION、基于布尔或基于时间）来利用该漏洞。

跨站脚本(XSS)

参数：

-缺乏输入验证和清理。

-将用户输入反射回网页，无需编码。-内容安全策略(CSP)使用不当

-Web应用程序中缺乏正确的输出编码

-在没有适当过滤的情况下使用JavaScript等客户端脚本语言。

应遵循的步骤：

1.识别用户输入字段或网页上显示用户数据的区域。2.在这些字段中输入脚本或JavaScript代码。

3.提交输入并观察脚本是否执行。

4.如果脚本执行，则表明存在XSS漏洞。

5.测试不同的XSS负载，例如scriptalert(XSS)/script或imgsrc=javascript:alert(XSS)以利用该漏洞

人们可以使用BurpIntruder尝试多个有效负载并观察利用的响应。

跨站请求伪造(CSRF)

参数：

-敏感操作中缺少反CSRF令牌。-缺乏对请求来源的验证。

1/40

-容易受到未经用户同意而执行未经授权的操作的请求的影响。-未能实现cookie的SameSite属性。

2024漏洞分类指北手册

应遵循的步骤：

1.识别敏感操作，例如更改密码或转移资金。

2.提交请求以从外部站点执行这些操作。

3.观察是否在未经用户同意的情况下执行操作。

4.如果未经同意执行操作，则表明存在CSRF漏洞。

5.为cookie实现防CSRF令牌和SameSite属性，以防止CSRF攻击。

远程代码执行(RCE)

参数：

-易受攻击的代码执行环境。-数据的不安全反序列化。

-缺乏输入验证和清理。

-网络协议或服务的安全措施不足。-攻击者执行任意代码。

遵循的步骤：

1.识别可以在服务器上执行代码的输入字段或参数，例如用户输入字段、HTTP请求参数、表单数据、文件上传、API接口、数据库查询和服务器端脚本语言。

2.在这些字段中输入执行代码的有效负载或命令。3.提交输入，观察代码是否执行。

4.如果出现代码执行，则表明存在RCE漏洞。

5.测试不同的RCE负载（例如命令注入或shell注入）以利用该漏洞。

命令注入

参数：

-缺乏系统命令的输入验证和清理。-使用连接字符串来构造系统命令。-攻击者执行任意命令。

-易受攻击的代码执行环境。

遵循的步骤：

1.识别用于执行系统命令的输入字段或参数。

2.在这些字段中输入执行任意命令的有效负载或命令。

2/40

3.提交输入并观察命令是否执行。

4.如果发生命令执行，则表明存在命令注入漏洞。5.测试不同的命令注入有效负载。

XML注入

参数：

-缺乏XML数据的输入验证和清理。

-在XML解析器中使用不受信任的XML数据。-攻击者执行恶意XML代码。

-易受攻击的XML处理库或框架。

应遵循的步骤：

1.识别接受XML数据的输入字段或参数。

2.输入可以操作XML解析器的有效负载或XML代码。3.提交输入并观察代码是否被执行或解析。

4.如果发生代码执行或解析，则表明存在XML注入漏洞。5.测试不同的XML注入负载，例如![CDATA[payload]]或!ENTITY%xxpayload以利用该漏洞。

LDAP注入

参数：

-缺乏LDAP查询的输入验证和清理。

-在LDAP查询中使用不受信任的输入。-攻击者执行恶意LDAP语句。

-易受攻击的LDAP库或框架。

遵循的步骤：

1.识别接受LDAP查询的输入字段或参数。

2.输入可以操作LDAP查询的有效负载或LDAP语句。3.提交输入并观察查询是否执行。

4.如果发生查询执行，则表明存在LDAP注入漏洞。5.测试不同的LDAP注入有效负载，例如*()

XPath注入

参数：

-缺乏XPath查询的输入验证和清理。

-在XPath查询中使用不受信任的输入。-攻击者执行