眾所周知，黑客入侵、網絡攻擊以及其他數字化安全漏洞從來都有百害而無一利。一個行業的煩惱可能是另一個行業的噩夢——如果你讀過 Veracode 的《軟件安全報告聲明，卷6》，就會知道大多數安全漏洞在某些特定行業更為頻繁。

10大常見的安全漏洞！你知道嗎？

1. 代碼質量問題

這個問題排在第一是有理由的。根據 Veracode 的研究，所有受調查企業提交的應用至少有半數存在代碼質量問題。雖然難以置信，這也是一種行動倡議：所有行業都應該切實執行安全編碼，比如早期的專家投入，頻繁且自動化的對問題進行排查等。

2. 加密問題

加密問題是最常見的安全漏洞之一，因為密碼學隱藏了重要的數據：如果密碼、支付信息或個人數據需要存儲或者傳輸，它們必須通過某種方法進行加密。密碼學也是一個自行其是的領域，白帽、黑帽專家不計其數，因此，請找專家解決加密問題，而不是埋頭苦干。以上都是常識。

3. 信息泄露

信息泄露的形式很多，但基本定義非常簡單：攻擊者或其他人看到了不該看的信息，且該信息可造成危害（比如：發起注入攻擊，或盜取用戶數據）即為信息泄露。因為信息泄露的形式千變萬化，必須找一個真正謹慎的專家來處理。無需多言。

4. CRLF 注入

CRLF 注入，從基本層面來說，是一種更強大的攻擊方式。在意想不到的位置添加行末命令，攻擊者可以注入代碼進行破壞。根據 Veracode 的研究，這些破壞包括：網站篡改、跨站腳本攻擊、瀏覽器劫持等。盡管這類攻擊可能比其他攻擊更容易防范，但若是忽視這一攻擊，就會釀成大禍。

5. 跨站腳本攻擊

另一種注入攻擊——跨站腳本注入（也成為 XSS 攻擊），可通過濫用網站內的動態內容以執行外部代碼實現。這類攻擊的后果包括：用戶賬戶劫持，Web 瀏覽器劫持等等。在包含允許輸入問號、斜杠等常用編碼字符的網站中，這類攻擊尤為常見。此 Veracode 博客詳細介紹了該攻擊的形式、后果，以及解決方法。

6. 目錄遍歷攻擊

目錄遍歷攻擊十分可怕，因為它不需要特定的工具或知識就能造成傷害。確實，只要有 Web 瀏覽器并掌握基本概念，任何人都可以對缺少防備的網站發起攻擊，讀取大的文件系統并獲取其中包含的“干貨”——用戶名與密碼、重要文件甚至網站或應用的源代碼。鑒于此類攻擊的門檻極低，強烈建議咨詢專業人員解決該問題。

7. 輸入驗證不足

簡單地說，妥善地處理并檢查輸入信息能確保用戶傳給服務器的數據不造成意外的麻煩。反之，如果輸入驗證不足，就會導致許多常見的安全漏洞，諸如惡意讀取或竊取數據，會話及瀏覽器劫持，惡意代碼運行等等。不要猜測用戶的輸入行為，要以偏執的心態對待用戶輸入。

8. SQL 注入

盡管排名較低，SQL 注入由于易于實現，已經成為最常見的安全漏洞之一。同是注入攻擊，SQL 注入則專注于 SQL 查詢語句。攻擊者反復地將這些查詢語句填入輸入欄，給用戶、網站管理員以及企業造成極大的麻煩。想了解更多信息？這篇 Veracode 博客對 SQL 注入有更為詳細的說明。

9. 證書管理

當壞人未經授權進入安全系統時，就會有壞事發生。有時，這些壞事是此類入侵的直接結果；而別的時候，這類入侵會泄露一些信息，導致更大的攻擊。不論是哪種情況，在準許讀取重要信息時采取謹慎的措施以驗證身份，永遠都不是壞主意。

10. 時間與狀態錯誤

這類漏洞最為狡猾，是由于分布式計算的興起，多系統、多線程硬件等運行同時任務造成的。與其他攻擊一樣，它也有多種形式，若是被攻擊者利用，執行未經授權的代碼，也會造成驗證的后果。此外，與多方面攻擊相似，必須求助專業協作才能防御這類漏洞。比較，你無法抵御你不能預測的攻擊。

保持系統安全

如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網絡安全攻擊。如果你想自己的應用在安全方面無懈可擊，不要羞于尋求幫助，真的出現漏洞，就為時過晚了。OneRASP 應用安全防護利器, 可以為軟件產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方博客