web相关知识

前言

对web相关知识的整理，包括自己熟悉的和不熟悉的。

Broken Access Control，越权访问

Cryptographic Failures，加密失败

Injection，注入

sql注入

Insecure Design，不安全的设计

Security Misconfiguration，安全配置错误

niginx配置不当导致的目录穿越

Nginx在配置别名（Alias）的时候，如果忘记加/，将造成一个目录穿越漏洞。

修改nginx.conf，添加如下配置：

location /file {
alias /var/www/html/example/;
}

在如下配置中设置目录别名时/file配置为/var/www/html/example/的别名，

那么当我们访问/file../时,nginx实际处理的路径时/var/www/html/example/../也就是/var/www/html/，从而实现了穿越目录。

访问http://test.com/file../sql.conf，会返回服务器上/var/www/html/sql.conf的内容

Vulnerable and Outdated Components，易受攻击的和过时的组件

Identification and Authentication Failures，识别和认证失败

Software and Data Integrity Failures，软件和数据完整性故障

Security Logging and Monitoring Failures，安全日志记录和监控失败

Server-Side Request Forgery (SSRF)，服务器端请求伪造 (SSRF)