令人哭笑不得的漏洞

现在，设想一种情况，假如你需要提交汇款请求，而银行要求你填写一个包含十几个不同输入字段的在线表单。这样你就要切换到另一页以查找一些详细信息，对它们进行三次验证，然后仅检查一下Reddit(全球很受欢迎的讨论网站,它的访问量已经可以排进全球前十)。当你最终决定提交表单时，会收到一条错误消息，表明你的会话不再有效。为此你必须重新填写一遍，因为你只有这样做，才能汇款。不过，这个过程会让你极为不爽。

起初，会话超时可以阻止某些XSS的利用，但是你输入密码的次数越多，就可能会增加在恶意页面上意外输入密码的机会。

九、无用的信息披露

有一些信息披露是无用的。除了牵强附会的假想场景之外，其他信息几乎毫无用处，但仍然每天都有报道，我最喜欢的示例是"Server: Apache"，这种不可思议的鲁莽行为为无数黑客打开了后门。没有人能猜到web服务器可能正在运行Apache，或者使用53种替代技术中的一种对其进行指纹识别。不幸的是，恶意的开发人员不允许你禁用它，因此你需要部署一个反向代理。

八、缺少rate-limit/ CAPTCHA

RateLimiter 从概念上来讲，速率限制器会在可配置的速率下分配许可证，如果必要的话，每个acquire() 会阻塞当前线程直到许可证可用后获取该许可证，一旦获取到许可证，不需要再释放许可证。通俗的讲RateLimiter会按照一定的频率往桶里扔令牌，线程拿到令牌才能执行，比如你希望自己的应用程序QPS不要超过1000，那么RateLimiter设置1000的速率后，就会每秒往桶里扔1000个令牌。

虽然强制使用一次性密码的影响是毁灭性的，但这并不意味着每个应用程序终端都应该限制来自一个IP的传入连接的数量。如果请求只是在应用程序上创建工作载荷，你真的想要修复它吗?每个修复都需要关注、工程时间、测试时间，有时甚至会引入新的漏洞。没有直接影响的速率限制(除了DOS)通常被排除在漏洞奖励计划之外，因为它没有达到风险与修复成本的阈值。

七、将CSV注入作为一个漏洞

早在2014年，CSV注入(CSV Injection)漏洞的发现者James认为这是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能。在这个过程中，CSV中的所有Excel公式都会执行。当该函数有合法意图时，很易被滥用并允许恶意代码执行。

但是，在跟踪研究过程中，James发现了一个公式，如果受害者点击多个可怕的警告，就会在Excel中执行任意代码。结果呢?几乎所有具有CSV导出功能的站点都有此报告。

六、未指定组件中的CVE-XXXX未指定漏洞

根据你发现的易受攻击的软件版本来报告漏洞并没有什么错，但是你很容易被成千上万的此类报告所困扰。在当前条件下，它们中可能只有一小部分实际上是可利用的，或者它们可能根本不会被用户看到。由于很难找到1%的可利用漏洞并正确确定优先级，但这就需要公司付出很多成本。扫描已知漏洞通常只是第一步，真正的价值是通过报告经过验证的漏洞并具有清晰的利用载体来创造的。

五、不再具有威胁的XSS漏洞

现在，设想一种情况，假如你需要提交汇款请求，而银行要求你填写一个包含十几个不同输入字段的在线表单。这样你就要切换到另一页以查找一些详细信息，对它们进行三次验证，然后仅检查一下Reddit(全球很受欢迎的讨论网站,它的访问量已经可以排进全球前十)。当你最终决定提交表单时，会收到一条错误消息，表明你的会话不再有效。为此你必须重新填写一遍，因为你只有这样做，才能汇款。不过，这个过程会让你极为不爽。

起初，会话超时可以阻止某些XSS的利用，但是你输入密码的次数越多，就可能会增加在恶意页面上意外输入密码的机会。

九、无用的信息披露

有一些信息披露是无用的。除了牵强附会的假想场景之外，其他信息几乎毫无用处，但仍然每天都有报道，我最喜欢的示例是"Server: Apache"，这种不可思议的鲁莽行为为无数黑客打开了后门。没有人能猜到web服务器可能正在运行Apache，或者使用53种替代技术中的一种对其进行指纹识别。不幸的是，恶意的开发人员不允许你禁用它，因此你需要部署一个反向代理。

八、缺少rate-limit/ CAPTCHA

RateLimiter 从概念上来讲，速率限制器会在可配置的速率下分配许可证，如果必要的话，每个acquire() 会阻塞当前线程直到许可证可用后获取该许可证，一旦获取到许可证，不需要再释放许可证。通俗的讲RateLimiter会按照一定的频率往桶里扔令牌，线程拿到令牌才能执行，比如你希望自己的应用程序QPS不要超过1000，那么RateLimiter设置1000的速率后，就会每秒往桶里扔1000个令牌。

虽然强制使用一次性密码的影响是毁灭性的，但这并不意味着每个应用程序终端都应该限制来自一个IP的传入连接的数量。如果请求只是在应用程序上创建工作载荷，你真的想要修复它吗?每个修复都需要关注、工程时间、测试时间，有时甚至会引入新的漏洞。没有直接影响的速率限制(除了DOS)通常被排除在漏洞奖励计划之外，因为它没有达到风险与修复成本的阈值。

七、将CSV注入作为一个漏洞

早在2014年，CSV注入(CSV Injection)漏洞的发现者James认为这是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能。在这个过程中，CSV中的所有Excel公式都会执行。当该函数有合法意图时，很易被滥用并允许恶意代码执行。

但是，在跟踪研究过程中，James发现了一个公式，如果受害者点击多个可怕的警告，就会在Excel中执行任意代码。结果呢?几乎所有具有CSV导出功能的站点都有此报告。

六、未指定组件中的CVE-XXXX未指定漏洞

根据你发现的易受攻击的软件版本来报告漏洞并没有什么错，但是你很容易被成千上万的此类报告所困扰。在当前条件下，它们中可能只有一小部分实际上是可利用的，或者它们可能根本不会被用户看到。由于很难找到1%的可利用漏洞并正确确定优先级，但这就需要公司付出很多成本。扫描已知漏洞通常只是第一步，真正的价值是通过报告经过验证的漏洞并具有清晰的利用载体来创造的。

五、不再具有威胁的XSS漏洞

（编辑：沧州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!