OWASP Top 10 简单介绍
前言
最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象所以写一个博客记录一下 ,也希望可以为有相同需求的小伙伴提供好的资料,之后我会陆续更新相关的漏洞复现的博客,希望大家可以给我提出更好的建议。
版本:OWASP Top 10 2017
什么是OWASP Top 10
OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
A1 注入injection
将不安全的命令作为命令发送给解析器,会产生类似于
SQL注入、NoSQL注入、OS注入和LDAP注入
(轻量目录访问协议) 的缺陷,攻击者可以构造恶意数据
通过注入缺陷的解析器执行没有权限的非预期命令
或访问数据
。
A2 失效的身份认证
通过错误使用应用程序的
身份认证
和会话管理功能
,攻击者能够破译密码
、密钥
或会话令牌
,或者暂时
或永久
的冒充其他用户的身份。
A3 敏感数据泄露
这个比较好理解,一般我们的敏感信息包括
密码
、财务数据
、医疗数据
等,由于web应用或者API未加密
或不正确的保护敏感数据
,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,因此,未加密的信息极易遭到破坏和利用,我们应该加强对敏感数据的保护,web应用应该在传输过程中数据、存储的数据以及和浏览器的交互时的数据进行加密,保证数据安全。
A4外部实体(XXE)
XXE 全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击,早期或配置错误的XML处理器评估了XML文件外部实体引用,攻击者可以利用这个漏洞窃取URI(统一资源标识符)文件处理器的
内部文件
和共享文件
、监听内部扫描端口
、执行远程代码
和实施拒绝服务攻击。
A5失效的访问控制
通过
身份验证
的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限。攻击者可以利用这个漏洞去查看未授权的功能和数据,eg:访问用户的账户
、敏感文件
、获取和正常用户相同的权限
等.
A6 安全配置错误
安全配置错误是比较常见的漏洞,由于操作者的
不当配置
(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),导致攻击者可以利用这些配置获取到更高的权限,安全配置错误可以发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码。
A7 跨站脚本(xss)
xss攻击全称为跨站脚本攻击,当应用程序的新网页中包含
不受信任的
、未经恰当验证
、转义的数据
或可以使用HTML、JavaScript的浏览器API更新的现有网页
时,就会出现xss漏洞,跨站脚本攻击是最普遍
的web应用安全漏洞,甚至在某些安全平台都存在xss漏洞。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。
A8不安全的反序列化
不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击
A9使用含有已知漏洞的组件
组件(eg:库、框架或其他软件模块)拥有应用程序相同的权限,如果应用程序中含有已知漏洞,攻击者可以利用漏洞获取数据或接管服务器。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。
A10 不足的日志记录和监控
这个和等保有一定的关系,不作介绍,
不足的日志记录
和监控
,以及事件响应缺失
或无效的集成
,使攻击者能够进一步攻击系统、保持持续性的或攻击更多的系统,以及对数据的不当操作。
结语
大概了解了top 10的相关漏洞,对于漏洞有了一个大概的认识,接下来就是去多实际操作,去熟悉漏洞的相关特性,有助于您更好的了解这些漏洞。
参考文章
OWASP Top 10 2017
三分钟了解OWASP TOP 10 2017 RC2
浅谈OWASP TOP 10
持续更新Android安全、web安全等原创文章,需要学习资料,技术交流可以关注我一起学习
OWASP Top 10 简单介绍相关推荐
- 乌云TOP 10 简单介绍
已知OWASP TOP10的WEB漏洞,乌云出了一个更加符合中国国情的 乌云:Top10 for 2014. A1-互联网泄密事件/撞库攻击 本质上来说是使用了不安全的口令,也许我可以将自己的密码设置 ...
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- 安全服务/渗透测试工程师_面试题之OWASP TOP 10
欢迎关注我的微信公众号:安全攻防渗透 信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长. 思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是 ...
- OWASP Top 10 安全漏洞详解
OWASP或Open Web Security Project是一家非营利性慈善组织,致力于提高软件和Web应用程序的安全性. 该组织根据来自各种安全组织的数据发布顶级Web安全漏洞列表. 根据可利用 ...
- 小白必看!OWASP top 10详解
今天来学习一下什么是OWASP top 10 目录 今天来学习一下什么是OWASP top 10 A1 注入injection A2 失效的身份认证 A3 敏感数据泄露 A4 XML外部实体(XXE) ...
- OWASP top 10漏洞原理及防御(2017版官方)
文章目录 一.OWASP top 10简介 二.OWASP top 10详解 A1:2017-注入 A2:2017-失效的身份认证 A3:2017-敏感数据泄露 A4:2017-XML外部实体(XXE ...
- 【Ruby on Rails】2021 OWASP TOP 10 的安全加固建议
写在前面 OWASP TOP 10 在去年下半年发布了新版,本文将结合新版 TOP 10 的内容,整理一份 Rails 安全实践,供开发者朋友们参考. 本文适合有一定 Rails 开发经验,期望了解应 ...
- OWASP top 10漏洞详解
一.写在前边 临近毕业,最近在找实习单位,看到好多招聘要求熟悉owasp top 10 安全漏洞,于是在经过一番查资料,终于有了大致的了解,为了加深印象,特意通过博客记录一下,也希望为有同样需求的 ...
- OWASP Top 10:2021
目录 OWASP Top 10 For 2021 A01:2021-Broken Access Control(访问控制失效) A02:2021 – Cryptographic Failures(加密 ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
最新文章
- java常见对象_Java/10_Java常见对象.md at master · DuHouAn/Java · GitHub
- 在js对象上绑定js数组原生方法
- spring websocket源码分析
- 3.1.11 段页式管理方式
- Java初学者疑难杂症之:一对一和一对多的关系
- VS2015 定时服务及控制端
- 图片还原去遮挡_斗罗:这届coser太强,动画刚播出两天,战损三哥就被还原了...
- Redis再入门 codis 对比 Memcached
- pandas DataFrame 索引(iloc 与 loc 的区别)
- macOS和iOS间的隔空接力功能
- http://snaps.php.net,科技常识:Windows下编译PHP和memcache扩展教程
- 海量视频资源【网盘直接取】
- 土豆运行linux,安装到土豆上的 Linux 是怎么个意思?
- OpenCV中feature2D学习——Shi-Tomasi角点检测
- 概率论知识回顾(十):二维连续随机变量分布函数和联合密度函数
- 牛客网SQL大厂面试真题(一)
- MAC install torch
- 国机精工,上柴股份,共创草坪,成交量异动检测
- php读git历史,Git 查看提交历史
- linux达芬奇安装教程,在Linux系统中能安装和运行达芬奇DaVinci Resolve 17版本