我们都知道Web应用是由动态的脚本以及很多通过编译的代码等组合而成。它的运行与Web服务器有很大的关系，以前服务器是黑客的首要攻击对象但是随着目前各类防火软件的普及这类攻击成功率越来越低，于是黑客的编队防御相对薄弱的应用产生了想法，几天小编总结了几个事关Web应用安全‍的漏洞，希望大家有所防范。

1. XXE 漏洞

XXE 漏洞全称XML 外部实体漏洞（XML External Entity）当应用程序解析 XML 输入时如果没有禁止外部实体的加载导致可加载恶意外部文件和代码，就会造成任意文件读取命令执行内网端口扫描、攻击内网网站等攻击。这个只在能够接收 XML 格式参数的接口才会出现。解决方案是禁用外部实体过滤用户提交的XML数据。

2. JSON 劫持

JSON 劫持（JSON Hijacking）是用于获取敏感数据的一种攻击方式属于 CSRF 攻击的范畴。一些 Web 应用会把一些敏感数据以 json 的形式返回到前端如果仅仅通过 Cookie 来判断请求是否合法那么就可以利用类似 CSRF 的手段向目标服务器发送请求以获得敏感数据。一个很好的解决方案是浏览器 JSON 数据识别。

3. 暴力破解

这个一般针对密码而言弱密码（Weak Password）很容易被别人（对你很了解的人等）猜到或被破解工具暴力破解。解决方案也足够直接就是密码复杂度要足够大也要足够隐蔽并且可以限制尝试次数。

还有一种十分常见能够使应用造成很大损失的Web应用安全‍漏洞就是信息泄露，近年来此类事件频频发生其中包括一些知名公司的应用也发生过类似事件，这项漏洞产生的原因很多，黑客攻击手段也不断地进步所以我们的防范工作并不轻松，需要我们与时俱进保证源代码服务器配置的安全。