对web应用构成安全威胁的错误漏洞

对于绝大部分的web应用攻击都是没什么特定目标的大范围漏洞扫描，只有少数的攻击是为入侵特定目标而进行的针对性尝试。频繁的攻击难以准确检测出来，许多网站的web应用防火墙都无法保证能够有效运行，有一些被忽略的安全错误可能威胁到web应用的安全。

SQL注入漏洞，SQL注入依然活跃，安全监控公司的研究显示，SQL注入攻击长期以来一直都是最普遍的web攻击方式，占该公司客户报告事件的55%，不能心存侥幸心理，觉得SQL注入已经不存在了。

不安全的反序列化，反序列化是应用接受序列化对象并将其还原的过程。如果序列化过程不安全，可能会出现大问题。Imperva Incapsula报告称，不安全反序列化攻击近期快速抬头，2017年最后3个月里增长了近300%，可能是受非法加密货币挖矿活动的驱动。这样的不安全性可轻易导致web应用暴露在远程代码执行的威胁之下。

未使用内容安全策略组织跨站脚本，XSS是往带漏洞web应用中出入恶意代码的常见手段。可参见：www.imperva-incapsula.cn XSS的目标不是web应用，而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略CSP，这一技术发展良好，但仍未被大多数网站采纳。

信息泄漏，50%的应用都有某种信息漏洞，这些漏洞会将有关应用本身，应用所处环境或应用用户的信息暴露给黑客，供黑客进行进一步的攻击。信息泄漏可以是用户名/口令泄漏，也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞，但缓解过程却往往视泄漏数据的种类而定。问题在于，即便是软件版本号泄漏了，也能够给黑客带来攻击上的优势。