首页 > 编程语言 >OWASP Top10漏洞

OWASP Top10漏洞

时间:2023-02-05 15:32:28浏览次数:54  
标签:Web 请求 防范措施 安全 Top10 应用程序 OWASP 漏洞 攻击者

Web安全的重要性

基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。因此web安全有多重要,不言而喻。

OWASP是什么

OWASP Top10漏洞_web安全 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表”。接下来让我们了解一下OWASP 十大web漏洞。(2022)

一、SQL注入

SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。防范措施1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数  4.检查数据类型

二、失效的身份认证和会话管理      

在开发web应用程序时,开发人员往往只关注Web应用程序所需的功能,所以常常会建立自定义的认证和会话方案。但是要正确的实现这些方案却是很难的。结果就在退出、密码管理、超时、密码找回、帐户更新等方面存在漏洞。防范措施:1、区分公共区域和受限区域。2、对最终用户帐户使用帐户锁定策略。3、支持密码有效期。4、能够禁用帐户。5、不要存储用户密码等。


三、跨站脚本攻击(XSS)

XSS是跨站脚本攻击,原理是攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。防范措施:使用XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并过滤可能存在的脚本攻击及恶意的THML或简单的HTML格式错误等。

四、直接引用不安全的对象

不安全的直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。防御措施:1、使用基于用户或会话的间接对象访问,这样可防止攻击者直接攻击未授权资源。2、访问检查:对任何来自不受信源所使用的所有对象进行访问控制检查。3、避免在url或网页中直接引用内部文件名或数据库关键字。4、验证用户输入和url请求,拒绝包含./ …/的请求。

五、安全配置错误
安全配置错误可以发生在一个应用程序堆栈的任何层面,通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。防御措施:1、 配置所有的安全机制。2、 最小原则,关掉或限制不使用的服务。3、 更改默认账户信息等。


六、敏感信息泄露

许多web应用程序和app都无法正确保护敏感数据,攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。防御措施:1、对系统处理、存储或传输的数据进行分类,根据分类进行访问控制。2、对用户敏感信息的传输和存储进行加密。


七、缺少功能级的访问控制

大多数Web应用程序的功能在UI页面显示之前,会验证功能级别的访问权限。但是,应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求从而在未经适当授权时访问功能。防范措施:设计严格的权限控制系统,对于每个请求和URL都要进行校验和权限确认,防止非法请求被执行等。

八、跨站请求伪造 CSRF

CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。防范措施:1、验证 HTTP Referer 字段。2、在请求地址中添加 token 并验证。3、二次验证


九、使用含有已知漏洞的组件

大多数的开发团队并不会把及时更新组件和库当成他们的工作重心,更不关心组件和库的版本,然而应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,可能导致严重的数据丢失或服务器接管。防范措施:建立使用组件的安全策略,禁止使用未经安全评估的组件或者在适当情况下,对组件进行安全封装,精简不必要的功能,封装易受攻击部分等。


十、未验证的重定向和转发

重定向是服务端根据逻辑,发送一个状态码(通常为3xx),告诉浏览器重新去请求那个地址.所以地址栏显示的是新的URL。(重定向是在客户端完成的)

转发是在服务器内部将请求转发给另一个资源,把那个URL的响应内容读取过来,然后把这些内容再发给浏览器.浏览器根本不知道服务器发送的内容从哪里来的,因为这个跳转过程是在服务器实现的,并不是在客户端实现的所以客户端并不知道这个跳转动作,所以它的地址栏还是原来的地址。(转发是在服务器端完成的)防范措施:重定向外部网站需要验证是否在白名单,或者转发内部网站要验证是否有权限等。


标签:Web,请求,防范措施,安全,Top10,应用程序,OWASP,漏洞,攻击者
From: https://blog.51cto.com/u_15945480/6038286

相关文章

  • 论文阅读: CCF A(ICSE) 2022 MVD: 基于流敏感图神经网络的内存相关漏洞检测
    Abstract:内存相关漏洞对现代软件的安全构成了严重威胁。尽管基于深度学习的方法在一般性漏洞检测方面取得了成功,但在应用于内存相关漏洞检测时,仍然受到流信息利用不......
  • 第13章 网络安全漏洞防护技术原理与应用
    第13章网络安全漏洞防护技术原理与应用13.1网络安全漏洞概述13.1网络安全漏洞概念网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲......
  • 漏洞深度分析|Apache iotdb-web-workbench 认证绕过漏洞(CVE-2023-24830)分析
     项目介绍IoTDB-Workbench是IoTDB的可视化管理工具,可对IoTDB的数据进行增删改查、权限控制等。项目地址https://github.com/apache/iotdb-web-workbench漏洞概述Apa......
  • weblogic12C修复漏洞(禁用T3+IIOP)
    目录weblogic12C修复漏洞(禁用T3+IIOP)1、禁用T3协议1.1、配置规则1.2、启动2、禁用IIOP协议weblogic12C修复漏洞(禁用T3+IIOP)参考博客:https://blog.csdn.net/m0_716926......
  • el表达式注入漏洞
    0x00前言EL表达式在开发的时候学过,跟jsp一起学的当时那没有了解到后续的漏洞利用,但是现在转念一想也确实可以直接java代码那java的利用方式不在这个语法中也可以使用嘛,然......
  • windows 3389漏洞处理
    背景由于项目需要且客户提供的环境有一定局限性,有些实施的系统会在windows上,且甲方也会定期漏扫,这边以Windows2012r2梳理一些windows上3389的漏洞处理方法。下载补丁包......
  • WordPress4.6任意命令执行漏洞
    前言WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也算是一个内容管理系统(CMS)环境搭建docker环境(......
  • 安卓应用漏洞学习case7
    安卓应用漏洞学习case7前期回顾漏洞免费实战部分-安卓应用层getLastPathSegment函数问题漏洞实战部分2-安卓应用ZipEntry对象问题实战漏洞实战部分3-ContentProvider......
  • 域渗透漏洞
    一、域内提权漏洞(CVE-2021-42287和CVE-2021-42278)1.1漏洞介绍1.1.1CVE-2021-42278主机账户的名称尾部应该有一个$(即sAMAccountName属性),但是域控对此属性并没有......
  • 关于LFI(Local File Inclusion)漏洞的利用
    LFI(localfileinclusion)漏洞是.php文件里include、require、once等函数不恰当使用引起的这个漏洞允许攻击者暴露目标服务器上的文件,在目录遍历(../)的帮助下,可以使攻击者访......