3、AJAX暴露出来的漏洞

    前面讲SQL注入的时候说过的例子就是一个典型的情况，因为大多数网站不是在开发时就拥有Ajax技术的，都是后来看大家都用了，赶时髦加上。但是在加上的同时没有意识到，在web上增加一个文件，就等于扩展了一点攻击面。在这里我就不多说了，请参考IT168的AJAX安全专题：http://www4.it168.com/jtzt/shenlan/safe/ajax

    4、业务逻辑漏洞

    这个词看起来挺抽象的，他和“暴露程序信息漏洞”有很多共同点，看名字就知道，应该是存在于业务逻辑层（service层）的漏洞。这样的漏洞都和程序的运行逻辑有关，举一个例子。

    小王给小李转账，在业务层的流程应该是这样子的，首先在小王的账上扣除一百元，之后在小李的账上增加一百元。
这个过程需要执行至少两条SQL语句，也就是调用至少两次dao方法，而一旦调用中间出现问题（产生异常），就应该立刻回滚而不是跳转到异常处理机制。大家都应该想到使用“事务处理”，是的，在一个大型复杂的项目里，一定要进行事务处理，一旦事务处理控制的不好，麻烦就大了。这就是它和“暴露程序信息漏洞”的共同点，发现的时候，要凭经验和运气。

    5、XSS漏洞

    这个漏洞也影响深远，想要发现这样的漏洞，除了在页面上进行测试外，还要从流程上入手。用户输入有害信息后，信息保存到数据库，从数据库中读出来丢给用户时产生漏洞。也就是说我们有两个过程可以拦截，就是保存到数据库时，和从数据库读出来后交给用户时。最快的方法是直接打开数据库查看数据，如果数据没有经过编码直接放进了数据库，那么可能性就有了一半。剩下的一半更简单，在action层搜索转码常用的字符，如果没有，就很容易发现漏洞。即使有，也不用着急，在action层里慢慢找，很可能还有漏网之鱼。有关XSS漏洞，请参考IT168的XSS安全专题：http://www4.it168.com/jtzt/shenlan/safe/xss/index.html

    6、页面层的逻辑漏洞

    此类漏洞涵盖面很大，包括“暴露不该暴露的数据”、“权限控制的不精确”、“方便客户的同时存在安全隐患”等等。这类漏洞就只能靠着自己的经验，使用系统的每一个细小功能来寻找。我给出几个例子供大家参考。

    例1，“找回密码”功能，这个功能是为了方便客户的，可以通过一些客户之前确认的信息而获得客户的身份验证。有些程序的逻辑是这样的，“请输入VIP用户名”--（判断VIP用户不存在）--“请输入提示问题答案”--显示用户密码或提供修改密码的链接。第一步，入侵者可以获得VIP用户名是否存在，进而获取密码，第二步，一旦用户留的问题比较弱智，就等于告诉别人自己的密码。

    例2，用户列表功能，试想，普通用户闲着没事看用户列表做什么？这个功分明是为了方便入侵者搜集用户名的。

    例3，不要把防护交给JS，谁告诉我们使用JS可以防止用户做某些操作的？这简直是陷阱，JS只能防护普通用户而已，永远不要相信客户端提交上来的数据，我见到有人的系统在限制上传文件时，仅仅在JS里做了防护，这不是自欺欺人么？

    Web漏洞层出不穷，即使不存在以上漏洞，也别高兴的太早，我们现在使用的技术，只能防范目前上了台面的攻击，或许今天你的系统固若金汤，明天就出现了新的攻击方法。就像04年突然出现的“上传文件”漏洞，在写代码的时候，谁能想到这里还会出现问题？本文中，我仅仅是根据自己的一些经验，以及一时灵感获得的思路，给大家抛砖引玉来的，文中一定有没有写到的地方，而从分层架构的角度去看漏洞的思想才刚刚开始，希望每一位读者在自己的心里都有一翻序曲。期待大家文明的踢场子和鼓励。