OWASP十大攻击类型详解
随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。
一、OWASP的安全威胁
OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
|
编号 |
来源 |
描述 |
是否产 生日志 |
备注 |
|
01 |
OWASP |
Injection |
是 |
已定义特征 |
|
02 |
OWASP |
Broken Authentication and session Management |
是 |
统计分析 |
|
03 |
OWASP |
Cross-Site Scripting (XSS) |
是 |
已定义特征 |
|
04 |
OWASP |
Insecure Direct Object References |
是 |
已定义部分攻击特征+正确配置 |
|
05 |
OWASP |
Security Misconfiguration |
否 |
日志中不记录具体请求的内容信息 |
|
06 |
OWASP |
Sensitive Data Exposure |
否 |
日志中不记录具体请求的内容信息 |
|
07 |
OWASP |
Missing Function Level Access Control |
是 |
已定义部分攻击特征+正确配置 |
|
08 |
OWASP |
Cross-Site Request Forgery (CSRF) |
否 |
日志中不记录具体请求的内容信息 |
|
09 |
OWASP |
Using Components with Known Vulnerabilities |
是 |
已定义特征 |
|
10 |
OWASP |
Unvalidated Redirects and Forwards |
否 |
日志中不记录具体请求的内容信息 |
二、分析规则
2.1 Injection 注入
|
来源 |
WASC |
ID |
40 |
检测方案 |
特征匹配 |
|
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入 |
|||||
|
已定义匹配规则 |
||||||
2.2 失效的身份认证和会话管理
2.2.1 Credential/Session ID Prediction
|
来源 |
WASC |
ID |
检测方案 |
统计分析 |
||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
|
Apache |
host、需要cookie信息、request |
|||||
|
分析方法 |
统计同一源IP短时间内访问web的无效session(cookie)次数,如果超过一定的基线阈值则可以视为攻击。 如果同一session ID在一定时间内,由不同client IP address在重用,则可以视为攻击。 URI中如出现大量sessionID字串的顺序出现 |
|||||
2.2.2 会话超时设置不当
|
来源 |
WASC |
ID |
检测方案 |
|||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
|
Apache |
host、需要cookie信息、request |
|||||
|
分析方法 |
根据会话需要,设置会话的过期时间,并且提供logout功能。 |
|||||
2.3 Cross-Site Scripting (xss)跨站脚本
|
来源 |
WASC |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
已定义匹配规则 |
|||||
2.4 不安全的直接对象引用
2.4.1 Path Traversal(pt) 路径遍历
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
Detects basic directory traversal 检测到路径遍历 |
|||||
|
已定义规则 |
||||||
2.4.2 水平越权
|
来源 |
其他 |
ID |
检测方案 |
|||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
遍历用户id批量获取用户信息 |
|||||
|
正确配置:判断用户的session id,是否具有访问或操作权限; 将id进行加密。 |
||||||
2.5 安全配置错误
|
来源 |
WASC |
ID |
检测方案 |
|||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、URI、HTTP Status(sc-status) |
||||
|
Apache |
host、request、statuscode |
|||||
|
分析方法 |
默认配置漏洞容易被利用 修改为安全的属性配置。最少使用模块配置,最少权限配置。 |
|||||
2.6 敏感数据泄漏
2.6.1 HTTPS传输
|
来源 |
其他 |
ID |
58 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
页面传输使用https保护传输 |
|||||
2.6.2 信息未加密
|
来源 |
其他 |
ID |
59 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
对敏感信息进行加密。 对用户来说,不用应用的密码设置为不同的,防止撞库。 |
|||||
2.7 缺失级功能访问控制
2.7.1 Sensitive Path Guess敏感路径猜测
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
Ip referrer url status |
||||
|
Apache |
Ip referrer url status |
|||||
|
分析方法 |
是否访问了该服务器敏感目录如admin等管理后台. 已定义规则。 |
|||||
2.7.2 垂直权限缺失访问控制
|
来源 |
其他 |
ID |
59 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
属于业务设计缺陷的安全问题, 正确配置:应当对访问控制加权限。 |
|||||
2.9 The Third Party Components Access第三方组件访问
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI status |
||||
|
Apache |
Request status |
|||||
|
分析方法 |
大多第三方组件曾出现过严重安全漏洞,且均存在缺失路径,如果对某组件出现过漏洞的路径进行访问,则有可能为攻击行为,包含的组件有在线编辑器ewebeditor和fckeditor,其特征分别为eWebEditor、eWebEditor.mdb、editor/admin_login.asp和filemanager、editor/filemanager/browser等 |
|||||
OWASP十大攻击类型详解的更多相关文章
- Java基础学习总结(33)——Java8 十大新特性详解
Java8 十大新特性详解 本教程将Java8的新特新逐一列出,并将使用简单的代码示例来指导你如何使用默认接口方法,lambda表达式,方法引用以及多重Annotation,之后你将会学到最新的API ...
- js十大排序算法详解
十大经典算法导图 图片名词解释:n: 数据规模k:“桶”的个数In-place: 占用常数内存,不占用额外内存Out-place: 占用额外内存 1.冒泡排序 1.1 原始人冒泡排序 functi ...
- JAVA8 十大新特性详解
前言: Java8 已经发布很久了,很多报道表明Java 8 是一次重大的版本升级.在Java Code Geeks上已经有很多介绍Java 8新特性的文章, 例如Playing with Java ...
- Java8 十大新特性详解(转)
本教程将Java8的新特新逐一列出,并将使用简单的代码示例来指导你如何使用默认接口方法,lambda表达式,方法引用以及多重Annotation,之后你将会学到最新的API上的改进,比如流,函数式接口 ...
- java1.8十大新特性详解
"Java is still not dead-and people are starting to figure that out." 本教程将用带注释的简单代码来描述新特性,你 ...
- Java语言:JAVA8 十大新特性详解(zz)
关键词: Lambda表达式.函数式接口.方法与构造函数引用.接口的默认方法 原文地址: http://www.jb51.net/article/48304.htm 本教程将Java8的新特新逐一列出 ...
- C#进阶系列——WebApi 接口返回值不困惑:返回值类型详解
前言:已经有一个月没写点什么了,感觉心里空落落的.今天再来篇干货,想要学习Webapi的园友们速速动起来,跟着博主一起来学习吧.之前分享过一篇 C#进阶系列——WebApi接口传参不再困惑:传参详解 ...
- C++11 并发指南六(atomic 类型详解四 C 风格原子操作介绍)
前面三篇文章<C++11 并发指南六(atomic 类型详解一 atomic_flag 介绍)>.<C++11 并发指南六( <atomic> 类型详解二 std::at ...
- Java进阶(三十二) HttpClient使用详解
Java进阶(三十二) HttpClient使用详解 Http协议的重要性相信不用我多说了,HttpClient相比传统JDK自带的URLConnection,增加了易用性和灵活性(具体区别,日后我们 ...
随机推荐
- IIS下PHP的ISAPI和FastCGI比较
在Windows IIS 6.0下配置PHP,通常有CGI.ISAPI和FastCGI三种配置方式,这三种模式都可以在IIS 6.0下成功运行,下面我就讲一下这三种方式配置的区别和性能上的差异. 1. ...
- 复制代码后调试程序,报错:在当前上下文中不存在名称“InitializeComponent”
今天在看微软的Silverlight Toolkit Samples,并对其中的项目进行MSBuild, 编译器总是报这个错误“在当前上下文中不存在名称“InitializeComponent”” 找 ...
- gradle配置flavors上传nexus服务器
分拆代码的过程中需要把核心代码编译成一个库上传到内部maven服务器上,所以研究了一下上传私库的方法. 首先拆分的是工具类库,这个库和java的库类似,没有配置flavors,所以按照网上通用的方法引 ...
- struts.properties文件
此配置文件提供了一种机制来更改默认行为的框架.其实所有的struts.propertiesconfiguration文件中包含的属性也可以被配置在web.xml中使用的init-param,以及在st ...
- ios -将navigationbar的translucent属性设为No后,子控制器视图整体下移问题
如果不将navigationbar.translucent = YES 会觉得颜色很浅,因为这是半透明状态 若navigationbar.translucent = NO,颜色问题解决,但是子控制器视 ...
- C# 关于在原图中寻找子图片坐标的类
在网上找了好久,没有一个现成的例子,自己也发帖子可惜没有找到好办法. 只好自己动手写了, 以下为个人想法所写,算法可能不会太好,如果各位有好的例子发来大家一起分享一下. 这个类主要实现了图片坐标查找功 ...
- POJ3259(虫洞)
题目大意:给你一张图,先输入m条双向边(权值为正),再输入w条单向边(权值为负),判断是否有负环 题目思路:bellman-ford或者SPFA都行,我用的是SPFA(因为和POJ1860类似,就不加 ...
- angularjs 遇见$scope,xxx=function()报错为该函数未定义
本包子今天遇见一个问题,就是明明写了$scope,xx=function()但是报错了,报错显示是该函数未定义,我就很着急的先将函数写成一个全局函数,就没问题,等下午有空的时候寻思了一下,为什么全局就 ...
- 数组中binarySearch 中小小的误区! 用的时候大家要注意点
- 批量索引以提高索引速度 -d --data-binary
index create update 第1.2行分别为:信息行.数据行,在索引中增加或更换文档delete 移除文档,只包含信息行 Bulk API | Elasticsearch Referenc ...