什么是OWASP Top 10?Web安全必读

安全 应用安全
除了关注业务本身外,越来越多的企业也开始关注web安全。Web安全领域我们经常看到OWASP Top 10,那么什么是OWASP Top 10呢?它跟Web有什么关系呢?

除了关注业务本身外,越来越多的企业也开始关注web安全。Web安全领域我们经常看到OWASP Top 10,那么什么是OWASP Top 10呢?它跟Web有什么关系呢?

OWASP(开放式Web应用程序安全项目)是一个开源的、非营利性的全球性安全组织,致力于改进Web应用程序的安全,这个组织最出名是,它总结了10种最严重的Web应用程序安全风险,警告全球所有的网站拥有者,应该警惕这些最常见、最危险的漏洞。

这就是著名的OWASP Top 10。

OWASP Top 10包括:注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击(XXE)、存取控制中断、安全性错误配置、跨站脚本攻击(XSS)、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。

什么是OWASP Top 10?web安全必读

注入

当Web应用程序缺乏对使用的数据进行验证和清理的时候,极易发生注入攻击。著名的注入攻击有SQL注入、NoSQL注入、OS注入等。注入攻击会导致数据丢失和被破坏,甚至主机被黑客完全接管。

失效身份验证和会话管理

失效身份验证和会话管理主要发生在Web应用程序身份验证环节,身份验证机制出现逻辑问题便会出现此类问题。黑客会利用身份验证漏洞,尝试控制系统中的账户,一旦操作成功,他便能合法的进行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最广泛的Web应用程序问题,Web应用程序、API未加密,或者无法准确保护敏感信息,均会导致个人信息、密码等敏感信息泄露,被黑客出售给第三人,或用于违法犯罪目的。

XML外部实体注入攻击(XXE)

这种攻击主要针对解析XML输入的Web应用程序。弱配置的XML解析器处理包含外部实体引用的XML输入时,就会发生XXEE攻击。黑客会利用这个漏洞窃取URI文件处理器的内部文件和共享文件,从而监听或执行远程代码,或发动拒绝服务攻击。

存取控制中断

如果对已经身份验证通过的用户,没有实施合适的访问权限控制,那么攻击者便可以通过这个漏洞,去使用未经授权的功能,以及查看未经授权的数据,例如访问用户的账户、查看敏感文件等等。

安全性错误配置

操作者使用默认配置、临时配置、开源云存储、http标头配置等不当配置,攻击者便会利用这些错误配置,获得更高的权限。安全性错误配置是最常见的漏洞之一,攻击难度低。攻击者可使用自动化程序发动攻击,极其危险。

跨站脚本攻击(XSS)

黑客将恶意的客户端脚本注入到目标网站,并将该网站用作传播方法。攻击者发动XSS攻击后,受害网站的显示方式会被黑客控制,网站会被黑客重定向至新页面,或者显示广告、违法犯罪等内容。

不安全的反序列化

攻击程序会尝试在不进行任何验证的情况下,对数据进行反序列化,不安全的反序列化会导致远程代码执行、重放攻击、注入攻击等。

使用具有已知漏洞的组件

如果Web应用程序含有已知的漏洞,攻击者可利用漏洞获取数据或接管服务器。Web应用程序所使用的框架、库或者其他软件模块,会破坏应用程序的防御,造成更为严重的后果。

日志记录和监控不足

日志记录和监控是一种有效的防范手段,它能在发送问题时,帮助你迅速采取行动,如果应用程序日志记录和监控不足,黑客能进一步控制系统,造成更大、更长远的危害。

 

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2020-03-02 00:52:04

OWASP软件安全漏洞

2024-01-05 15:56:10

2010-10-25 17:22:52

2019-01-17 17:14:05

2010-10-25 11:40:58

2022-03-16 12:40:00

云安全书籍云安全

2017-08-07 14:59:06

2017-08-09 10:13:52

androidwifiCSS

2023-06-07 11:19:12

2012-08-09 14:49:49

2021-11-02 09:27:43

漏洞网络安全网络攻击

2017-04-19 11:57:35

2018-09-29 09:00:00

2013-06-14 09:41:13

OWASPWeb应用安全风险TOP10

2010-05-21 10:12:24

2023-03-31 12:05:32

2024-01-09 09:19:31

2011-06-03 14:50:16

WEB标准

2010-10-25 17:28:43

2012-04-26 19:18:26

安全测试沙龙
点赞
收藏

51CTO技术栈公众号