SRC常见漏洞情况分类

菱玖2026-04-07 22:29

一、Web 应用类漏洞

企业 SRC 高频提交类型,金融 / 政务 / 企业官网均高发;

  1. SQL 注入漏洞:含普通注入、盲注、堆叠注入、二次注入等,常见于查询 / 登录 / 提交接口,未对用户输入做过滤,可导致数据库信息泄露、拖库甚至服务器控制
  2. 跨站脚本攻击(XSS):反射型 XSS、存储型 XSS、DOM 型 XSS,用户输入未做转义,可窃取 Cookie、钓鱼欺诈、篡改页面内容
  3. 跨站请求伪造(CSRF):未验证请求来源,攻击者利用用户登录态伪造请求,执行非授权操作(如修改密码、提交数据)
  4. 越权访问:水平越权(访问同级别用户数据)、垂直越权(低权限访问高权限功能),权限校验逻辑缺失,可导致敏感信息泄露、功能滥用
  5. 目录遍历 / 文件读取:未限制访问路径,可遍历服务器目录、读取配置文件 / 日志 / 源码等敏感文件
  6. 文件上传漏洞:未校验文件类型 / 后缀 / 内容,可上传木马、病毒等恶意文件,直接获取服务器控制权
  7. 命令执行 / 代码执行:用户输入被拼接至系统命令 / 代码中执行,可执行任意系统命令、篡改服务器数据
  8. 敏感信息泄露:接口 / 页面泄露手机号、身份证、银行卡、后台地址、源码、数据库配置、日志文件等信息
  9. 未授权访问:后台管理系统、接口、数据库、存储桶(OSS/COS)等未做身份校验,可直接访问使用
  10. 业务逻辑漏洞:如密码找回逻辑缺陷、支付金额篡改、短信轰炸、越权下单、重复提交等,基于业务流程的逻辑设计漏洞

二、服务器 / 系统类漏洞

运维侧高发,企业 SRC 安全巡检重点:

  1. 弱口令 / 默认口令:服务器、数据库、后台、设备(交换机 / 防火墙)使用简单密码 / 出厂默认密码,易被暴力破解
  2. 高危端口开放:未做端口策略限制,开放 3389、22、3306、6379 等高危端口,且未做访问控制,易被扫描利用
  3. 系统 / 组件未及时更新:服务器系统(Linux/Windows)、中间件(Tomcat/Nginx/Apache)存在已知高危漏洞(如 Log4j2、Struts2),未修复补丁
  4. 恶意程序 / 后门:服务器被植入 Webshell、木马、远控后门,存在异常进程 / 端口 / 文件
  5. 权限配置不当:服务器文件 / 目录权限过高(如 777 权限),普通用户可修改 / 删除核心文件,数据库用户权限过大(如 root 远程访问)
  6. 日志配置缺失 / 泄露:未开启系统 / 应用日志,或日志文件可被任意访问,无法溯源安全事件
  7. 容器 / 虚拟化漏洞:Docker/K8s 配置不当,如未做资源隔离、镜像存在漏洞、API 未授权访问
  8. 中间件配置漏洞:Nginx 解析漏洞、Tomcat 弱口令 / 后台未授权、Redis 未授权访问 / 未做密码认证

三、移动应用类漏洞

APP 端 SRC 专属,含安卓 /iOS:

  1. 本地数据泄露:APP 将敏感数据(账号、密码、缓存)明文存储在本地文件 / SharedPreferences,可被提取
  2. 协议传输未加密:APP 与服务端通信采用 HTTP 明文传输,数据可被抓包截取、篡改
  3. 逆向 / 脱壳漏洞:APP 未做加固 / 加固被破解,源码 / 算法可被逆向分析,核心逻辑泄露
  4. 组件暴露 / 权限滥用:APP 申请过多敏感权限(如通讯录、定位、相机),或暴露可被外部调用的组件,导致功能被滥用
  5. 二次打包 / 仿冒:APP 未做签名校验,可被二次打包植入恶意代码,生成仿冒 APP
  6. 接口未做校验:APP 接口未做签名 / 验签、参数校验,可被重放攻击、参数篡改

四、网络 / 设备类漏洞

政企 SRC 高发,偏网络安全侧:

  1. 网络设备漏洞:交换机、防火墙、路由器、负载均衡等设备存在固件漏洞、弱口令、配置缺陷
  2. 网络嗅探 / 中间人攻击:网络未做加密防护,数据可被嗅探,存在中间人攻击风险
  3. 无线安全漏洞:WiFi 未做加密(如 WEP)、弱密码、WPS 开启,易被破解,导致内网被入侵
  4. 防火墙 / 安全设备配置不当:安全策略过松、未拦截高危攻击、白名单配置错误,无法有效防护网络攻击

五、小程序 / 公众号类漏洞

  1. 小程序接口漏洞:未授权访问、参数篡改、敏感信息泄露,与 Web 应用漏洞类似但适配小程序场景
  2. 公众号菜单 / 素材漏洞:菜单链接指向恶意地址、素材库信息泄露、授权逻辑缺陷
  3. 小程序本地存储漏洞:敏感数据明文存储在本地,可被提取
  4. 关联账号漏洞:小程序与公众号、企业微信关联逻辑缺陷,导致越权访问关联账号数据

六、通用型 / 低危易修复类漏洞

  1. Cookie 未设置安全属性:未开启 HttpOnly、Secure、SameSite 属性,易被 XSS 窃取、跨站利用
  2. 缺少安全响应头:未配置 X-Frame-Options、X-XSS-Protection、Content-Security-Policy 等防护头,易被点击劫持、XSS 攻击
  3. 验证码逻辑缺陷:验证码可被暴力破解、重复使用、前端绕过,无过期时间
  4. 页面 / 接口未做限流:未限制访问频率,易被暴力破解、短信轰炸、爬虫爬取
  5. 链接重定向 / 跳转漏洞:未校验跳转目标地址,可被构造恶意链接,用于钓鱼欺诈
  6. 源码 / 注释泄露:页面源码中保留开发注释、后台地址、测试账号等敏感信息
相关推荐
星幻元宇VR19 小时前
VR航空航天科普设备助力航天知识普及
人工智能·科技·学习·安全·vr·虚拟现实
Agent产品评测局19 小时前
制造业生产调度自动化落地,完整步骤与避坑指南:2026企业级智能体选型与实战全景
运维·人工智能·ai·chatgpt·自动化
狂奔的sherry20 小时前
一次由 mount 引发的 Linux 文件系统“错觉”
linux·运维·服务器
志栋智能20 小时前
超自动化巡检:让合规与审计变得轻松简单
运维·网络·人工智能·自动化
小黑要努力20 小时前
智能音箱遇到的问题(一)
linux·运维·git
好度20 小时前
自动化教程-封装浏览器驱动
运维·自动化
ch3nyuyu20 小时前
静态库和动态库的制作
linux·运维·开发语言
程序员老邢20 小时前
【产品底稿 07】商助慧 Admin 运维模块落地:从 “能跑” 到 “能运维”,3 个页面搞定日常排障
java·运维·经验分享·spring boot·后端
一口Linux21 小时前
Linux C编程 | 从0实现telnet获取程序终端控制权
linux·运维·c语言
上海云盾-小余21 小时前
边缘节点安全赋能:CDN 联动高防抵御复合型流量攻击
人工智能·安全
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“04Codex 接入 DeepSeek API 完整配置文档052026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot06【AI】2026 年具身智能模型和世界模型总结07在Windows 11上安装Docker的踩坑记录08零基础教你claude code 接入 deepseek V4092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10VSCode + Copilot下:配置并使用 DeepSeek