Web应用十大安全漏洞
Web应用十大安全漏洞
开放Web应用程序安全项目通过调查,列出了对Web应用的危害较大的10个安全问题,也是业界集中关注最严重的问题。主要包括:未验证参数、访问控制缺陷、账户及会话管理缺陷、跨网站脚本漏洞、缓冲区溢出、命令注入漏洞、错误处理问题、密码学使用不当、远程管理漏洞、Web服务器及应用服务器配置不当.
未验证参数: Web请求返回的信息没有经过有效性验证就提交给Web应用程序使用。攻击者可以利用返回信息中的缺陷,包括URL、请求字符串、cookie 头部、表单项,隐含参数传递代码攻击运行Web程序的组件。
访问控制缺陷:用户身份认证策略没有被执行,导致非法用户可以操作信息。攻击者可以利用这个漏洞得到其他用户账号、浏览敏感文件、删除更改内容,执行未授权的访问,甚至取得网站管理的权限。
账户及会话管理缺陷:账户和会话标记未被有效保护。攻击者可以得到密码、解密密钥、会话Cookie和其他标记,并突破用户权限限制或利用假身份得到其他用户信任。
跨站脚本漏洞:在远程Web页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌入其中的脚本将被解释执行。最典型的例子就是论坛处理用户评论的应用程序,这些有跨站脚本漏洞的应用程序会向客户端返回其他用户先前输入的内容,- -些网站的错误处理页面也存在此类问题。浏览器收到了嵌入恶意代码的响应,那么这些恶意代码就可能被执行。
缓冲区溢出: Web应用组件没有正确检验输入数据的有效性,倒使数据溢出,并获得程序的控制权。可能被利用的组件包括CGI,库文件、驱动文件和Web服务器。
命令注入漏洞: Web应用程序在与外部系统或本地操作系统交互时,需要传递参数.如果攻击者在传递的参数中嵌入了恶意代码,外部系统可能会执行那些指令。比如SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。
错误处理问题:在正常操作没有被有效处理的情况下,会产生错误提示,如内存不够、系统调用失败、网络超时等。如果攻击者人为构造Web应用不能处理的情况,就可能得到一些反馈信息,就有可能从中得到系统的相关信息。系统如何工作这样重要的信息显示出来,并且暴露了那些出错信息背后的隐含意义。例如,当发出请求包试图判断-一个文件是否在远程主机上存在的时候,如果返回信息为“文件未找到”则为无此文件,而如果返回信息为“访问被拒绝"则为文件存在但无访问权限。
密码学使用不当: Web应用经常会使用密码机制来保护信息存储和传输的安全,比如说开机或文件密码、银行账号、机密文件等。然而这些用于保密用途的程序代码也可能存在一些安全隐患,这可能是由于开发者的原因造成的。
远程管理漏洞:许多Web应用允许管理者通过Web接口来对站点实施远程管理。如果这些管理机制没有得到有效的管理,攻击者就可能通过接口拥有站点的全部权限。
Web服务器及应用服务器配置不当:对Web应用来说,健壮的服务器是至关重要的。服务器的配置都较复杂,比如Apache服务器的配置文件完全是由命令和注释组成,一个命令包括若千个参数。如果配置不当对安全性影响最大。
针对上述10个安全漏洞,在各种攻击时间中占有较大比重的是命令注入攻击/SQL注入攻击和跨站脚本攻击
Web应用十大安全漏洞相关推荐
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- Web 应用程序的十大安全漏洞
应用程序的安全性非常重要,解决安全问题的方法有很多,但一个有效的入门方法是解决 OWASP(开放 Web 应用程序安全项目)确定的十大安全问题.在本文中,我们将介绍当前应用程序的十大安全漏洞. OWA ...
- 2020年十大开源漏洞回顾
聚焦源代码安全,网罗国内外最新资讯! WhiteSource 公司基于 NVD.安全公告和开源项目问题追踪工具等回顾了2020年出现的十大开源漏洞.如下: 1.Lodash CVE-2020-820 ...
- 盘点 | 2021年十大网络安全漏洞
漏洞与信息化进程相伴而生,为加强网络安全防护.避免漏洞所引发的威胁,漏洞管理成为重要IT策略.2021年,因漏洞导致的各类安全事件频发,涉及经济.民生的方方面面,提高安全意识已势在必行.以下为中科三方 ...
- Web开发者十大必备网站资源任你挑
http://tech.it168.com/a2010/0519/888/000000888016_1.shtml Web开发者十大必备网站资源任你挑 2010年05月19日10:35 来源:51CT ...
- Windows最新十大安全漏洞
Windows最新十大安全漏洞 作者: techrepublic.com Friday, January 30 2004 9:32 AM SANS(SysAdmin audit Network Sec ...
- 新装WINDOWS XP系统 必须安装的十大高危漏洞补丁
当然,新装的Xp系统,很多用户可能是集成SP2或SP3及更多补丁的Ghost装机盘版本,部分盗版XP可以使用Windows Update升级,如果担心受正版验证补丁的影响,推荐还是用金山清理专家来打补 ...
- US-CERT 公布近三年遭利用频率最高的十大安全漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 虽然微软早已发布 Windows.Office 和 Windows Server 漏洞补丁,但这些漏洞仍然是最受黑客宠爱的恶意软件传播 ...
- Windows 8难逃厄运 十大安全漏洞缠身
众所周知,微软谈论Windows 8已经超过一年多时间了,每次谈论话题都会引出不少兴趣点,引起人们的极大关注.近期,微软开始对Windows 8的安全问题大为关注,该公司表示,由于Windows De ...
- 转:OWASP发布Web应用程序的十大安全风险
Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险 ...
最新文章
- Google Ajax Search 参考
- 皮纹生物识别多元智力测量的科学原理
- 教师要与时俱进,不要自以为正确
- 复制初始化和直接初始化
- 【多线程高并发】查看Java代码对应的汇编指令教程
- MySQL 常用需求写法 记录一下
- 基于JAVA+SpringMVC+Mybatis+MYSQL的奖学金评定管理系统
- mysql与win8有冲突吗_Win8系统Defender功能和安全软件冲突怎么办
- 需要大量设计的软件如何进行敏捷开发
- javaweb文件压缩下载
- FPGA设计入门-----1位全加器的设计
- stm32 LCD1602显示
- 【渝粤教育】电大中专计算机常用工具软件 (2)_1作业 题库
- 60.(leaflet之家)leaflet虚线
- 关于《2012年我的十大工程》双季进展情况报告总结
- IELTS12 Test6 the population of some countries include a relatively large number of young adults
- unity4和unity5区别
- 软件研发管理最佳实践(2012-10-20 深圳)
- 电脑锁定计算机有没有难度较高的,你对电脑的刷新率了解有多少 锁定刷新率的方法...
- python内置库求复数的辐角_皮肤与美容—医学专家如是说_中国大学MOOC(慕课)_章节测验答案...