随着漏洞赏金金额的增加,许多以此为生的研究人员发现了许多所谓的漏洞。今天我们就来看看十大荒谬的漏洞。10.太多并发会话Gmail和Facebook会话持续多年,你可以同时从不同的设备访问它们。如果Gmail和Facebook不想为用户提供这种便利,他们可以实施会话超时,让用户在五分钟不活动后注销。现在,想象一下您需要提交汇款请求并且您的银行要求您填写包含十几个不同输入字段的在线表格的情况。于是你切换到另一个页面寻找一些细节,仔细检查它们,然后只检查Reddit(世界上最受欢迎的讨论网站,按流量计算已经排在世界前十)。当您最终决定提交表单时,您会收到一条错误消息,指出您的会话不再有效。为此,您必须重新填写,因为只有这样做才能汇款。然而,这个过程会让你非常不舒服。起初,会话超时可以防止一些XSS攻击,但是输入密码的次数越多,就越有可能增加在恶意页面上不小心输入密码的机会。9.无用的信息披露有些信息披露是无用的。除了牵强附会的假设场景外,几乎没有任何信息,但仍然每天都有报道,我最喜欢的例子是“服务器:Apache”,一种不可思议的鲁莽行为,为无数黑客打开了后门。没有人会猜到Web服务器可能正在运行Apache,或者使用53种替代技术中的一种对其进行指纹识别。不幸的是,恶意开发人员不允许您禁用它,因此您需要部署一个反向代理。8.缺少rate-limit/CAPTCHARateLimiter从概念上讲,ratelimiter会以可配置的速率分配license,如果有必要,每个acquire()都会阻塞当前线程,直到license可用。获得许可,获得许可后,无需释放许可。一般来说,RateLimiter会按照一定的频率往桶里扔令牌,线程拿到令牌后才能执行。比如你希望你的应用QPS不超过1000,那么RateLimiter设置1000的速率后,每秒都会向桶中发送令牌。投掷1000个代币。虽然强制使用一次性密码的影响是毁灭性的,但这并不意味着每个应用端点都应该限制来自一个IP的传入连接数。如果请求只是在应用程序上创建工作负载,您真的要修复它吗?每个修复都需要关注、工程时间、测试时间,有时甚至会引入新的漏洞。没有直接影响的速率限制(DOS除外)通常被排除在错误赏金计划之外,因为它不符合修复阈值的风险与成本。7.将CSV注入作为漏洞早在2014年,CSV注入(CSVInjection)漏洞的发现者James就认为这是一个影响巨大的攻击向量。攻击包括将参数注入恶意EXCEL公式,这些公式可以导出或读取为CSV文件。在Excel中打开CSV文件时,文件将从CSV描述转换为本机Excel格式,包括Excel提供的所有动态功能。在此过程中,将执行CSV中的所有Excel公式。虽然该函数具有合法意图,但很容易被滥用并允许执行恶意代码。然而,在他的后续研究中,James发现了一个公式,如果受害者点击多个可怕的警告,它就会在Excel中执行任意代码。结果?几乎每个具有CSV导出的站点都有此报告。6.未指定组件中的CVE-XXXX未指定漏洞根据您发现容易受到攻击的软件版本报告漏洞并没有错,但是您很容易被成千上万的此类报告所困扰。在当前条件下,实际上只有一小部分可以被利用,或者用户可能根本看不到它们。由于很难找到1%的可利用漏洞并对其进行适当的优先级排序,因此公司付出了巨大的代价。扫描已知漏洞通常只是第一步,真正的价值是通过报告具有明确利用向量的经过验证的漏洞来创造的。五、XSS漏洞不再是威胁XSS(cross-sitescripting)攻击是最常见的Web攻击,重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种类型:ReflectedXSS(基于反射的XSS攻击)、StoredXSS(基于存储的XSS攻击)、DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)。那些已经失效的经典XSS攻击可以说是非常可笑的漏洞,比如document.write(location.pathname),document.write()是Javascript中的一个API方法,用于document.open()打开的文档流操作.document.write()方法可以将你传入的内容插入到HTML输出流中,浏览器会根据HTML元素依次解析并显示出来。其中的路径在现代浏览器中始终是URL编码的,如果内容类型是纯文本或json,它就会嗅探内容。IE曾经漏洞百出,研究人员有很多花招来利用InternetExploder。但是现在,除非用户决定使用过时的InternetExplorer导航到URL来查看一些非法的色情、赌博和毒品网站,否则XSS攻击漏洞可以说是毫无意义的。不幸的是,这并不能阻止赏金猎人将这些所谓的漏洞作为他们报告的重要部分进行研究。4.缺乏安全标头标头是HTTP规范的一部分,用于定义有关HTTP请求和响应中的消息的元数据。当用户通过客户端浏览器访问网站时,服务器会使用HTTP响应标头进行响应。虽然HTTP消息通常由用户读取,但元数据仅由Web浏览器处理,并且从1.0版开始就包含在HTTP协议中。3.标签钓鱼(tabnabbing)这种攻击方式是由MozillaFirefox浏览器的界面和创意总监AzaRaskin发现并命名的。Tabnabbing可以改变用户浏览网页的标签和界面,从而诱导用户输入网络服务的账号和密码。因此,拉斯金将这种技术称为tabnapping。他指出,当用户连接到嵌入了第三方脚本程序或Flash工具的网页时,会使自己面临风险,因为相关的恶意软件可以检测到用户经常使用或正在使用的网络服务。用户暂时离开网页后,网页的内容和标签会悄悄转化为虚假的网络服务,诱导用户输入个人信息。反向tabnabbing,你会发现两种类型。滥用target=_blank通过更改打开攻击者控制站点的页面的URL,其想法是在您关闭攻击者控制的页面时诱使您登录到钓鱼站点。幸运的是,浏览器将通过默认链接到target=_blank并将noopener设置window.opener设置为null来缓解此漏洞。这意味着报告类似的漏洞毫无意义。2.缺少httponly标志如果cookie设置了HttpOnly标志,在发生XSS时可以避免JavaScript读取cookie,这就是引入HttpOnly的原因。但是这种方法可以防止攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么它是否可以防止它被“写入”呢?答案是不。根据研究人员多年的跟踪分析,他们观察到了一种奇特的现象。当安全措施像设置HTTP标头或cookie标志一样简单时,它很快就会赢得许多坚持必须在任何可能的地方使用它的爱好者。这样做的后果是,他们认为任何不采取这些措施的网站肯定是不安全的。可以肯定的是,旨在通过停止使用JavaScript窃取会话cookie来减轻XSS的使用目前几乎没有用,因为cookie泄漏是一种复杂且不切实际的利用方法,攻击者无论如何都不会盯着它看。一种发动攻击的方法。不幸的是,httponly标志的粉丝不知道这一点,他们也不认识会话cookie,所以你最好将它应用到每个cookie上,否则他们可能会生气。除了对赏金猎人有用之外,这份漏洞报告的实际防御价值几乎可以忽略不计。1、autocomplete=off设置失败。autocomplete属性是HTML5中的一个新属性。输入中默认启用自动完成属性。属性值:on——默认,开启自动补全;off-禁用自动完成。input的属性autocomplete默认是开启的,表示是否让浏览器自动记录之前输入的值。在很多情况下,需要对客户信息进行保密,以防止浏览器软件或恶意插件获取。您可以在输入中添加autocomplete="off"以关闭记录。当系统需要保密时可以使用该参数。研究人员跟踪发现,“autocomplete=offsettingfailure”漏洞被漏洞赏金猎人视为重点发现目标,原因如下:密码;安全审计员声称应该通过设置autocomplete=off来防止或禁止这种情况;不同意可能导致无法获得PCI合规性;浏览器供应商不同意,因此所有主流浏览器都故意忽略此设置;一些网站通过不使用type=password或禁用粘贴来解决此漏洞;实际结果是什么?大多数网站都在一个每个人都忽略的设置上浪费精力,并且没有以任何方式解决安全问题。本文翻译自:https://portswigger.net/research/notwasp-bottom-10-vulnerabilities-that-make-you-cry
