OWASP Top 10 简单介绍
前言
最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象所以写一个博客记录一下 ,也希望可以为有相同需求的小伙伴提供好的资料,之后我会陆续更新相关的漏洞复现的博客,希望大家可以给我提出更好的建议。
版本:OWASP Top 10 2017
什么是OWASP Top 10
OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
A1 注入injection
将不安全的命令作为命令发送给解析器,会产生类似于
SQL注入、NoSQL注入、OS注入和LDAP注入(轻量目录访问协议) 的缺陷,攻击者可以构造恶意数据通过注入缺陷的解析器执行没有权限的非预期命令或访问数据。
A2 失效的身份认证
通过错误使用应用程序的
身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者暂时或永久的冒充其他用户的身份。
A3 敏感数据泄露
这个比较好理解,一般我们的敏感信息包括
密码、财务数据、医疗数据等,由于web应用或者API未加密或不正确的保护敏感数据,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,因此,未加密的信息极易遭到破坏和利用,我们应该加强对敏感数据的保护,web应用应该在传输过程中数据、存储的数据以及和浏览器的交互时的数据进行加密,保证数据安全。
A4外部实体(XXE)
XXE 全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击,早期或配置错误的XML处理器评估了XML文件外部实体引用,攻击者可以利用这个漏洞窃取URI(统一资源标识符)文件处理器的
内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。
A5失效的访问控制
通过
身份验证的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限。攻击者可以利用这个漏洞去查看未授权的功能和数据,eg:访问用户的账户、敏感文件、获取和正常用户相同的权限等.
A6 安全配置错误
安全配置错误是比较常见的漏洞,由于操作者的
不当配置(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),导致攻击者可以利用这些配置获取到更高的权限,安全配置错误可以发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码。
A7 跨站脚本(xss)
xss攻击全称为跨站脚本攻击,当应用程序的新网页中包含
不受信任的、未经恰当验证、转义的数据或可以使用HTML、JavaScript的浏览器API更新的现有网页时,就会出现xss漏洞,跨站脚本攻击是最普遍的web应用安全漏洞,甚至在某些安全平台都存在xss漏洞。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。
A8不安全的反序列化
不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击
A9使用含有已知漏洞的组件
组件(eg:库、框架或其他软件模块)拥有应用程序相同的权限,如果应用程序中含有已知漏洞,攻击者可以利用漏洞获取数据或接管服务器。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。
A10 不足的日志记录和监控
这个和等保有一定的关系,不作介绍,
不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性的或攻击更多的系统,以及对数据的不当操作。
结语
大概了解了top 10的相关漏洞,对于漏洞有了一个大概的认识,接下来就是去多实际操作,去熟悉漏洞的相关特性,有助于您更好的了解这些漏洞。
参考文章
OWASP Top 10 2017
三分钟了解OWASP TOP 10 2017 RC2
浅谈OWASP TOP 10
持续更新Android安全、web安全等原创文章,需要学习资料,技术交流可以关注我一起学习
OWASP Top 10 简单介绍相关推荐
- 乌云TOP 10 简单介绍
已知OWASP TOP10的WEB漏洞,乌云出了一个更加符合中国国情的 乌云:Top10 for 2014. A1-互联网泄密事件/撞库攻击 本质上来说是使用了不安全的口令,也许我可以将自己的密码设置 ...
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- 安全服务/渗透测试工程师_面试题之OWASP TOP 10
欢迎关注我的微信公众号:安全攻防渗透 信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长. 思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是 ...
- OWASP Top 10 安全漏洞详解
OWASP或Open Web Security Project是一家非营利性慈善组织,致力于提高软件和Web应用程序的安全性. 该组织根据来自各种安全组织的数据发布顶级Web安全漏洞列表. 根据可利用 ...
- 小白必看!OWASP top 10详解
今天来学习一下什么是OWASP top 10 目录 今天来学习一下什么是OWASP top 10 A1 注入injection A2 失效的身份认证 A3 敏感数据泄露 A4 XML外部实体(XXE) ...
- OWASP top 10漏洞原理及防御(2017版官方)
文章目录 一.OWASP top 10简介 二.OWASP top 10详解 A1:2017-注入 A2:2017-失效的身份认证 A3:2017-敏感数据泄露 A4:2017-XML外部实体(XXE ...
- 【Ruby on Rails】2021 OWASP TOP 10 的安全加固建议
写在前面 OWASP TOP 10 在去年下半年发布了新版,本文将结合新版 TOP 10 的内容,整理一份 Rails 安全实践,供开发者朋友们参考. 本文适合有一定 Rails 开发经验,期望了解应 ...
- OWASP top 10漏洞详解
一.写在前边 临近毕业,最近在找实习单位,看到好多招聘要求熟悉owasp top 10 安全漏洞,于是在经过一番查资料,终于有了大致的了解,为了加深印象,特意通过博客记录一下,也希望为有同样需求的 ...
- OWASP Top 10:2021
目录 OWASP Top 10 For 2021 A01:2021-Broken Access Control(访问控制失效) A02:2021 – Cryptographic Failures(加密 ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
最新文章
- java常见对象_Java/10_Java常见对象.md at master · DuHouAn/Java · GitHub
- 在js对象上绑定js数组原生方法
- spring websocket源码分析
- 3.1.11 段页式管理方式
- Java初学者疑难杂症之:一对一和一对多的关系
- VS2015 定时服务及控制端
- 图片还原去遮挡_斗罗:这届coser太强,动画刚播出两天,战损三哥就被还原了...
- Redis再入门 codis 对比 Memcached
- pandas DataFrame 索引(iloc 与 loc 的区别)
- macOS和iOS间的隔空接力功能
- http://snaps.php.net,科技常识:Windows下编译PHP和memcache扩展教程
- 海量视频资源【网盘直接取】
- 土豆运行linux,安装到土豆上的 Linux 是怎么个意思?
- OpenCV中feature2D学习——Shi-Tomasi角点检测
- 概率论知识回顾(十):二维连续随机变量分布函数和联合密度函数
- 牛客网SQL大厂面试真题(一)
- MAC install torch
- 国机精工,上柴股份,共创草坪,成交量异动检测
- php读git历史,Git 查看提交历史
- linux达芬奇安装教程,在Linux系统中能安装和运行达芬奇DaVinci Resolve 17版本