OWASP Top 10关键点记录
注入
注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。
注入类型
SQL查询语句、LDAP查询语句、Xpath查询语句、OS命令、XML解释器、SMTP头注入等
关键技术点
SQL、存储过程、ORM、Hibernate、Mybatis、XML、LDAP、SSI、代码注入、命令注入、Buffer Overflow、预编译/参数化查询、HQL、XXE
身份认证和会话管理
与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份(暂时的或者永久的)。
常见问题功能
退出登录、密码管理、记住我、秘密问题、账户更新
关键技术点
HTTP协议、Session、Cookie、Session fixation、Referer、Oauth、Openid、XSS、CSRF
跨站脚本
每当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或者使用可以创建JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。
常见危害
盗取身份认证信息、网站挂马、数据篡改、拒绝服务、挂黑链、流量劫持、账户劫持、广告弹窗、蠕虫等
关键点技术
反射型XSS、DOM型XSS、存储型XSS、JavaScript、转义(escape)、编码(encode)、浏览器解析顺序、浏览器解码顺序、CRLF、Cross Site Tracing(XST)、同源策略(SOP)、跨域资源共享(CORS)、内容安全策略(CSP)、X-XSS-Protection、X-Frame-Options、HttpOnly、Content-Type。
失效访问控制
仅允许通过身份验证的用户的限制没有得到适当的强制执行。攻击者可以利用这些缺陷来访问未经授权的功能和/或数据,例如访问其他用户的帐户,查看敏感文件,修改其他用户的数据,更改访问权限等。
安全威胁
用户信息泄漏、商业信息泄漏、破坏数据完整性等
关键点技术
目录穿越、本地文件包含、远程文件包含、越权
安全配置错误
好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应用程序的库文件。
常见问题
DNS域传送、目录浏览、弱口令等
关键点技术
补丁不及时、默认口令或弱口令、不必要的功能或服务、错误信息回显、配置错误导致信息泄漏等
敏感信息泄露
许多Web应用程序没有正确保护敏感数据,如信用卡,税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。敏感数据值需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预防措施。
常见问题
数据传输不加密、数据存储不加密、脆弱的加密算法、缺乏密钥管理
关键点技术
对称加密、非对称加密、哈希算法、哈希长度拓展攻击、密钥、Bcrypt、中间人攻击、SSL/TSL、HSTS、CA、证书、签名、PKI
攻击检测于防御不足
大多数应用程序和API缺乏针对手动和自动攻击的检测,预防和响应的基本功能。攻击保护远远超出了基本输入验证,并且涉及自动检测,记录,响应甚至阻止攻击。应用程序所有者还需要有快速部署补丁以防止攻击的能力。
常见问题
识别到攻击不做阻止、导致可以不断尝试测试,造成安全隐患。
跨站请求伪造(CSRF)
一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。
关键点技术
cookie/session机制、jsonp、跨域资源共享、json劫持
使用含有已知漏洞的组件
组件,比如:库文件、框架和其它软件模块,几乎总是以全部的权限运行。如果一个带有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。
常见漏洞组件
struts2、heartbleed、反序列化、weblogic、websphere、jboss、jenkins
未收保护的APIs
现代应用程序和API通常涉及丰富的客户端应用程序,例如浏览器中的JavaScript和移动端应用程序,连接到某种API(SOAP / XML,REST / JSON,RPC,GWT等)。这些API通常是不受保护的,并且包含许多漏洞。
关键点技术
API格式:XML、JSON、RPC、GWT、自定义
客户端:微服务、服务、终端、移动app
防御建议
保护API的关键在于确保您充分了解威胁模型以及防御方式:
1.确保您已经保护客户端和您的API之间的通信。
2.确保您的API具有强大的身份验证方案,并且所有凭据,密钥和令牌已被保护。
3.确保您的请求使用的任何数据格式,解析器都被配置并强化到可以防止此类攻击。
4.实现访问控制方案,保护API不被不正确地调用,包括未经授权的功能和数据引用。
5.防止所有形式的注入,即便它们适用于普通应用,但是这些攻击对API同样可行。
OWASP Top 10关键点记录相关推荐
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
- 2021 OWASP Top 10 榜单(初稿)发布,头牌易主
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OWASP Top 10 榜单列出的是最危险的 web 漏洞,时隔四年且十多年以来,该榜单霸主易主. OWASP Top 10 榜单创建于21世 ...
- OWASP TOP 10 2017中文译文
说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...
- 【OWASP Top 10】2021版
[OWASP Top 10]2021版 A01:失效的访问控制(Broken Access Control) 失效的访问控制(Broken Access Control)从第五位上升到了第一位.94% ...
- CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP ...
- 安全服务/渗透测试工程师_面试题之OWASP TOP 10
欢迎关注我的微信公众号:安全攻防渗透 信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长. 思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是 ...
- OWASP TOP 10 漏洞指南(2021)
什么是OWASP TOP 10? OWASP,全称"开放式Web应用程序安全项目"是一个非营利性的组织,2003年该组织首次出版了"Top 10",也就是10项 ...
- 【Microsoft Azure 的1024种玩法】二十四.通过Azure Front Door 的 Web 应用程序防火墙来对 OWASP TOP 10 威胁进行防御
[简介] 我们都知道像 SQL 注入.跨站点脚本攻击(XSS)之类的恶意攻击以及 OWASP 发现的十大威胁都可能会导致服务中断或数据丢失,让 Web 应用程序所有者受到巨大威胁.那么如何有效的解决O ...
最新文章
- yjk只算弹性的不计算弹塑性_基于ANSYS Workbench的表面裂纹计算
- R语言数据类型及数据类型判断
- Memcached Client 使用手册
- sed之G、H、g、h使用
- Katu Puzzle(POJ-3678)
- super关键字 java 1614785870
- KM、流程、风险管理的关系分析
- C++之禁用特定告警
- 【CPLEX】Java调用CPLEX的一些小笔记
- ClearCase 介绍
- 清华大学计算机系网络课程,资源分享:清华大学计算机系网络课程.pdf
- 计算机主机风扇安装方法,散热风扇怎么装 电脑机箱散热风扇安装图解教程 (全文)...
- EPLAN界面编辑背景颜色更改
- linux中 在文件中写入一句话怎么写_Linux一句话命令
- Progressive Scanning (逐行扫描) vs Interlaced Scanning (隔行扫描)
- sql查询大于平均得分的球员的名字和得分,并追加显示平均得分的列
- 服务器修改文件名卡死,知道地址修改服务器文件名
- c 语言程序设计文献,C语言程序设计毕业论文.doc
- 如何在PS中打开Camera Raw 软件
- 从零开始的神经网络构建历程(二,用全连接前馈神经网络识别手写数字mnist)
热门文章
- 退出linux用户登录命令,Linux系统中用户的登入登出命令详解
- matlab 刻度间隔,matlab – 地图的主要和次要刻度?
- 语言兔子繁衍问题讲解_颍湄脞録兔子不搁那窝里
- 在C#中使用C++编写的类
- MicroNets:更小更快更好的MicroNet,三大CV任务都秒杀MobileNetV3
- 从人脸识别到内容审核,百度硬核AI技术推荐!
- 谷歌2D景观转3D风景大片,无惧复杂光线与遮挡
- CVPR 2020 | 基于知识蒸馏的分块监督NAS
- 英伟达DALI加速技巧:让数据预处理速度比原生PyTorch快4倍
- AAAI 2020 | 腾讯优图10篇论文入选,含速算识别、视频识别等主题