OWASP——开放式web应用程序安全项目

参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.net/lifetragedy/article/details/52573897

Open Web Application Security Project

(1)——A1 —— 注入

包括但不限于sql注入、cookie注入、xxe注入等,此类为开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害,可导致非法分子直接获取数据库账号及密码获取管理员权限。如下图:

防御方案:

附:大概的防御就是waf,一款强大的waf是防御的最佳选择。

(2)——A2 —— 失效的身份认证和会话管理

SSO单点登录,cookie相关信息显示在url内或是未经允许即可访问部分或全部用户信息等

(3)——A3 —— 跨站

跨站脚本语言(XSS),常见发生于搜索栏、输入框、留言板、评论区;存在三种分类:反射型、DOM型、存储型;其中后两者的危害较大,跨站脚本常被利用于获取管理员账号及密码,制作木马、钓鱼、网页截图等

防范方案:

附:确定允许使用的标签列表,对部分属性限定对其设置

(4)——A4 —— 不安全的对象直接引用

类似于常见的业务逻辑漏洞,越权访问他人账号信息等。如下所示:

防范方案:

简单而言就是:不使用明文的输入;不使用单一cookie验证;拒绝向上访问文件操作等

(5)——A5 —— 跨站请求伪造(CSRF)

CSRF:通过模拟真实网页信息让用户点击访问,可以直接对用户的密码或者重要文件进行跨站篡改、盗取操作,也可以未经用户的许可,使用用户的名义散播不良信息、盗取钱财等

防范方案:

附:简单而言就是:由于cookie未做限制,导致只要简单的构造恶意页面就能完成非法操作。

(6)——A6 —— 安全误配置

管理员对服务器配置不当,开启了不应该开启的配置,导致存在的大部分敏感信息泄露或是如下介绍:

防御方案:

(7)——A7—— 限制URL访问失败

用户通过简单的修改url内post或者get请求的参数即可达到超级访问。其阐释可以是伪造URL越权访问

防御方案:

附:简单而言就是不同权限的用户使用相应权限的访问,不可任意人员都直接访问超级管理员权限。

(8)——A8—— 未验证的重定向和转发

302或301直接跳转到用户自己想访问的网站,如网站管理员禁止的403页面,跳转功能可用于钓鱼

防御方案:

(9)——A9—— 应用已知脆弱性的组件

应用携带漏洞的插件,如wordpress的魔图插件等。简单而言即:使用了被爆已知漏洞的插件或组件导致不安全。如:

防御方案:

附:使用安全的组件或及时更新安全组件,在使用时也需要对其进行安全测试。

(10)——A10—— 敏感信息泄露

这一项不做过多解释,90%的网站都会存在信息泄露。比如用户身份证或手机号,公司网站源代码等,或是账号密码等直接显示在网页上。

主要说一下防范:

防御方案:

附:使用加密存储个人数据;使用带有会话ID的SSL加密通道;定制统一出错页面,不可直接将出错页面暴露给用户;切忌将敏感信息打印到日志或存储于数据库(防sql报错注入)

OWASP TOP 10 详解的更多相关文章

  1. Top 命令详解

    Top 命令详解 先感受一下top命令的执行结果吧!哈哈-- top - 17:32:34 up 3 days, 8:04, 5 users, load average: 0.09, 0.12, 0. ...

  2. OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)

    OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...

  3. Linux下top命令详解

    Linux下top命令详解 top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器.top是一个动态显示过程,即可以通过用户按键来不断刷 ...

  4. OWASP TOP 10 2017中文译文

    说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...

  5. ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  6. OWASP top 10

    OWASP Top 10 A1: InjectionSolution+Validate User Input+Never concatenate queries and date+Parameteri ...

  7. Web漏洞总结: OWASP Top 10

    本文原创,更多内容可以参考: Java 全栈知识体系.如需转载请说明原处. 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. X509证书申请以及PKCS#10 详解

    一.证书颁发 1.单证书的签发 1) 用户填写信息注册(或者由RA的业务操作员注册用户). 2) 用户信息传递到RA. 3) RA审核通过. 4) 用户请求发证. 5) RA审核通过. 6) 用户签发 ...

随机推荐

  1. SPOJ LCS Longest Common Substring(后缀自动机)题解

    题意: 求两个串的最大\(LCS\). 思路: 把第一个串建后缀自动机,第二个串跑后缀自动机,如果一个节点失配了,那么往父节点跑,期间更新答案即可. 代码: #include<set> # ...

  2. ASP.NET Core 中间件(Middleware)(一)

    本文主要目标:记录Middleware的运行原理流程,并绘制流程图. 目录结构: 1.运行环境 2.Demo实践 3.源码追踪 4.AspnetCore内置middleware 一.运行环境 Visu ...

  3. 第一个SpringMVC项目——HelloMVC

    第一步:启动IDEA新建一个无模板的Maven项目,注意这还不是一个web项目,想成为web项目,需要添加web框架,这就是第二步需要做的事情 第二步:添加web框架支持 单击之后会弹出这个界面 第三 ...

  4. VuePress plugins All In One

    VuePress plugins All In One VuePress & element-ui & docs $ yarn add -D vuepress-plugin-demo- ...

  5. webpack 性能优化 dll 分包

    webpack 性能优化 dll 分包 html-webpack-externals-plugin DLLPlugin https://www.webpackjs.com/configuration/ ...

  6. HTML <keygen> 标签(👎 已废弃)

    HTML 标签( 已废弃) 该标签在新的 Web 标准中已废弃. <!DOCTYPE html> <html> <head>  <meta charset=& ...

  7. 二叉搜索树 & 二叉树 & 遍历方法

    二叉搜索树 & 二叉树 & 遍历方法 二叉搜索树 BST / binary search tree https://en.wikipedia.org/wiki/Binary_searc ...

  8. git & Angular git commit 规范

    git & Angular git commit 规范 https://github.com/angular/angular/commits/master https://github.com ...

  9. Flutter: OrientationBuilder 根据方向更新UI

    文档 api class _HomePageState extends State<HomePage> { @override Widget build(BuildContext cont ...

  10. Angular的工作原理

    来源:https://www.cnblogs.com/moriah/p/6096998.html <!doctype html> <html ng-app> <head& ...