OWASP TOP 10 详解
OWASP——开放式web应用程序安全项目
参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.net/lifetragedy/article/details/52573897
Open Web Application Security Project
(1)——A1 —— 注入
包括但不限于sql注入、cookie注入、xxe注入等,此类为开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害,可导致非法分子直接获取数据库账号及密码获取管理员权限。如下图:

防御方案:

附:大概的防御就是waf,一款强大的waf是防御的最佳选择。
(2)——A2 —— 失效的身份认证和会话管理
SSO单点登录,cookie相关信息显示在url内或是未经允许即可访问部分或全部用户信息等


(3)——A3 —— 跨站
跨站脚本语言(XSS),常见发生于搜索栏、输入框、留言板、评论区;存在三种分类:反射型、DOM型、存储型;其中后两者的危害较大,跨站脚本常被利用于获取管理员账号及密码,制作木马、钓鱼、网页截图等
防范方案:

附:确定允许使用的标签列表,对部分属性限定对其设置
(4)——A4 —— 不安全的对象直接引用
类似于常见的业务逻辑漏洞,越权访问他人账号信息等。如下所示:

防范方案:

简单而言就是:不使用明文的输入;不使用单一cookie验证;拒绝向上访问文件操作等
(5)——A5 —— 跨站请求伪造(CSRF)
CSRF:通过模拟真实网页信息让用户点击访问,可以直接对用户的密码或者重要文件进行跨站篡改、盗取操作,也可以未经用户的许可,使用用户的名义散播不良信息、盗取钱财等

防范方案:

附:简单而言就是:由于cookie未做限制,导致只要简单的构造恶意页面就能完成非法操作。
(6)——A6 —— 安全误配置
管理员对服务器配置不当,开启了不应该开启的配置,导致存在的大部分敏感信息泄露或是如下介绍:


防御方案:

(7)——A7—— 限制URL访问失败
用户通过简单的修改url内post或者get请求的参数即可达到超级访问。其阐释可以是伪造URL越权访问


防御方案:

附:简单而言就是不同权限的用户使用相应权限的访问,不可任意人员都直接访问超级管理员权限。
(8)——A8—— 未验证的重定向和转发
302或301直接跳转到用户自己想访问的网站,如网站管理员禁止的403页面,跳转功能可用于钓鱼


防御方案:

(9)——A9—— 应用已知脆弱性的组件
应用携带漏洞的插件,如wordpress的魔图插件等。简单而言即:使用了被爆已知漏洞的插件或组件导致不安全。如:

防御方案:

附:使用安全的组件或及时更新安全组件,在使用时也需要对其进行安全测试。
(10)——A10—— 敏感信息泄露
这一项不做过多解释,90%的网站都会存在信息泄露。比如用户身份证或手机号,公司网站源代码等,或是账号密码等直接显示在网页上。
主要说一下防范:
防御方案:

附:使用加密存储个人数据;使用带有会话ID的SSL加密通道;定制统一出错页面,不可直接将出错页面暴露给用户;切忌将敏感信息打印到日志或存储于数据库(防sql报错注入)
OWASP TOP 10 详解的更多相关文章
- Top 命令详解
Top 命令详解 先感受一下top命令的执行结果吧!哈哈-- top - 17:32:34 up 3 days, 8:04, 5 users, load average: 0.09, 0.12, 0. ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
- Linux下top命令详解
Linux下top命令详解 top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器.top是一个动态显示过程,即可以通过用户按键来不断刷 ...
- OWASP TOP 10 2017中文译文
说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...
- OWASP top 10
OWASP Top 10 A1: InjectionSolution+Validate User Input+Never concatenate queries and date+Parameteri ...
- Web漏洞总结: OWASP Top 10
本文原创,更多内容可以参考: Java 全栈知识体系.如需转载请说明原处. 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业 ...
- ASP.NET Core中的OWASP Top 10 十大风险-SQL注入
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...
- X509证书申请以及PKCS#10 详解
一.证书颁发 1.单证书的签发 1) 用户填写信息注册(或者由RA的业务操作员注册用户). 2) 用户信息传递到RA. 3) RA审核通过. 4) 用户请求发证. 5) RA审核通过. 6) 用户签发 ...
随机推荐
- C#Assembly、程序集、装配件、命名空间以及类型的关系
Assembly = 程序集 = 装配件 命名空间是类的逻辑组织形式,程序集是类的物理组织形式. 程序集其实和命名空间没有什么必然的联系. 程序集1: namespace1{ public class ...
- Nginx基础 - HTTPS安全web服务
1.HTTPS配置语法 Syntax: ssl on | off; Default: ssl off; Context: http, server Syntax: ssl_certificate fi ...
- spring再学习之简单测试
一.spring是怎么工作的那,通过一个类装载进容器进行描述: 首先创建一个类user: package cn.itcast.bean; public class User { public User ...
- 基于Vue的单页面应用的Markdown渲染
之前渲染 Markdown 的时候, 笔者使用的是 mavonEditor 的预览模式, 使用起来比较爽, 只需要引入组件即可, 但是在最近的开发中, 遇到了困难. 主要问题在于作为单页面应用, 站内 ...
- Leetcode(82)-删除排序链表中的重复元素 II
给定一个排序链表,删除所有含有重复数字的节点,只保留原始链表中 没有重复出现 的数字. 示例 1: 输入: 1->2->3->3->4->4->5 输出: 1-&g ...
- Python errors All In One
Python errors All In One SyntaxError: invalid character in identifier \u200b, ZERO WIDTH SPACE https ...
- Programming Interview Questions Websites All In One
Programming Interview Questions Websites All In One 编程面试刷题网站 http://highscalability.com/ https://tri ...
- auto open Chrome DevTools in the command line
auto open Chrome DevTools in the command line --auto-open-devtools-for-tabs # macOS $ /Applications/ ...
- .net core 和 WPF 开发升讯威在线客服系统:怎样实现拔网线也不丢消息的高可靠通信(附视频)
本系列文章详细介绍使用 .net core 和 WPF 开发 升讯威在线客服与营销系统 的过程.本产品已经成熟稳定并投入商用. 在线演示环境:https://kf.shengxunwei.com 注意 ...
- Django Admin后台管理功能使用+二次开发
一 使用环境 开发系统: windows IDE: pycharm 数据库: msyql,navicat 编程语言: python3.7 (Windows x86-64 executable in ...