#新 Web 安全主要就这些关键点:前端(XSS、CSRF),后端(SSRF、XXE、反序列化、模版注入、逻辑漏洞),那些老方式不是没用,而是不要总当重点来提,时代变了.....
tags: #经验#,
新 Web 安全主要就这些关键点:前端(XSS、CSRF),后端(SSRF、XXE、反序列化、模版注入、逻辑漏洞),那些老方式不是没用,而是不要总当重点来提,时代变了...
这句话之前对外发过,不过这里完善了点。对 Web 安全感兴趣并在玩这个的,多投入上面说的这些点。
另外一个大的 Web 安全分支纬度不得不提 Java Web 安全,重要性是被 Struts2 这个漏洞马蜂窝搞起来的。而很多企业级应用,基于 J2EE 构建的应用服务器(如:WebLogic、WebSphere、GlassFish、Resin,还有 JBoss,国内的 TongWeb、Apusic 等),历史上也出过不少安全问题,尤其是前两年的反序列化漏洞。由于这些经常用在企业里,影响会更大,那么漏洞价值也会大很多。
这些都是当下 Web 安全值得重点投入的点。要挖掘其 0day,思路只有一个:把历史所有漏洞能复现的都复现一遍,多总结多琢磨,勤奋出 0day,自古不变的真理!