OWASP TOP 10漏洞分析

这篇具有很好参考价值的文章主要介绍了OWASP TOP 10漏洞分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.注入 - Injection
2.跨站脚本 - (XSS)
3.失效的验证和和会话管理
4.不安全的直接对象访问
5.跨站请求伪造 - (CSRF)
6.不正确的安全设置
7.不安全的加密存储
8.URL访问限制缺失
9.没有足够的传输层防护
10.未验证的重定向和跳转

一、注入-Injection
1、虽然还有其他类型的注入攻击,但绝大多数情况下,问题设计的都是SQL注入
2、攻击者通过发送SQL操作语句,达到获取信息、篡改数据库、控制服务器等目的。是目前费长流行的WEB攻击手段
3、流行性:常见;危害性:严重
OWASP TOP 10漏洞分析
主要防范措施:
1.严格检查用户输入,注意特殊字符: " " ’ ’ "’ "’ ; – "’ | | "’ "xp_"等
2.转义用户输入内容
3.拒绝已经经过转义的输入
4.使用参数化的查询
5.使用SQL存储过程
6.最小化SQL权限(禁用SA账号)
7.防止错误页面信息泄露

二、跨站脚本 - XSS
1.影响面最广的Web安全漏洞
2.攻击者通过向URL或其他提交内容插入脚本,来实现客户端脚本执行的目的
3.可分为三种类型:反射、存储和DOM
流行性:极为广泛 危害性中等
OWASP TOP 10漏洞分析
主要防范措施:
1.严格检查用户输入
2.尽量限制在HTML代码中插入不可信的内容(可被用户输入或修改的内容)
3.对于需要插入的不可信内容必须先进行转义(尤其对特殊字符、语法符合必须转义或重新编码)
4.将Cookie设置为HttpOnly,防止被脚本获取

三、失效的验证和会话管理
主要防范措施
1.用户密码强度(普通:6个字符以上;重要:8个字符以上;极其重要:使用多种验证方式)
2.不使用简单或可预期的密码恢复问题
3.登录出错时不要给出过多提示
4.登录页面需要加密
5.对多次登录失败的账号进行短时锁定
6.验证成功后更换Session ID
7.使用128位以上有足够随机性的Session ID
8.设置会话闲置超时(可选会话绝对超时)
9.保护Cookie(Secure Flag /HTTPOnly flag)
9.不在URL中显示Session ID

四、不安全的直接对象访问
1.服务器上具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以此来尝试直接访问其他资源
2.所有Web应用都会受此问题影响
流行性:常见;危害性:中等
OWASP TOP 10漏洞分析
主要防范措施:
1.避免在URL或网页中直接引用内部文件名或数据库关键字
2.可以使用自定义的映射名称来取代直接对象名
http://example.com/online/getnews.asp?item=11
3.锁定网站服务器上的所有目录和文件夹,设置访问权限
4.验证用户输入的URL请求,拒绝包含./或.//的请求

五、跨站请求伪造(CRF)
1.攻击者构造恶意URL请求,然后诱骗合法用户访问此URL链接,以达到在Web应用中以此用户权限执行特定操作的目的
2.和反射型XSS的主要区别是:反射型XSS的目的是在客户端执行脚本;CSRF的目的是在WEB应用中执行操作
流行性:广泛 ;危害性:中等
OWASP TOP 10漏洞分析
主要防范措施:
1.避免在URL中明文显示特定操作的参数内容
2.使用同步令牌(Synchronizer Token),检查客户端请求是否包含令牌及其有效性
3.检查Referer Header,拒绝来自非本网站的直接URL请求

六、不正确的安全设置
1.管理员在服务器安全配置上的疏忽,通常会导致攻击者非法获取信息、篡改内容,升值控制整个系统
流行性:常见;危害性;中等
OWASP TOP 10漏洞分析
主要防范措施:
1.安装最新版本的软件及补丁
2.最小化安装(只安装需要的组件)
3.Web文件/SQL数据库文件不存放在系统盘上
4.不在Web/SQL服务器上运行其他服务
5.严格检查所有与验证和权限有关的设定
6.权限最小化
7.不使用默认路径和预设账号
8.按照微软的最佳安全实践进行加固

七、不安全的加密存储
1.对重要信息不进行加密处理或加密强度不够,或者没有安全的存储加密信息,都会导致攻击者获得这些信息
2.此风险还涉及Web应用意外的安全管理
流行性:不常见 ;危害性:严重
造成的原因:
1.对于重要的信息,比如银行卡号、密码等,直接以明文写入数据库
2.使用自己编写的加密算法进行简单加密
3.使用MD5,SHA-1等低强度的算法
4.将加密信息和密钥存放在一起

 对称加密:对称加密是最早和著名的技术。机密钥匙可以是数字,一词或者随机子午的字符串,只需,应用与以特定方式更改内容的消息的文本,这可能是简单,只需通过的多个字母表中的位置偏移每个字母。只要发件人和收件人知到机密密钥,他们可以进行加密和解密使用此注册表项的所有邮件
 非堆对称加密:机密密钥问题通过Internet或大型网络他们交换时防止他们位于错误手中。知到密钥的人可以解密该邮件。一种回答是在其中有两个相关的项--密钥对的非堆成加密。公司密钥可自由地向您发送一条消息,可能需要的任何人。第二个专用的密钥是保持机密,以便只知道它。通过使用公钥加密所有邮件(文本、二进制的文件或文档)只能进行解密,通过应用相同的算法,但通过使用匹配的私钥。只能通过使用匹配的公钥解密任何使用私钥加密的邮件。这意味着您不必担心会通过Internet传递公共密钥(密钥应该是公共的)。不对成的加密问题但是,是它比对称加密慢,他要求更多的处理能力来加密和解密消息的内容。

主要防范措施:
1.对所有重要信息进行加密
2.仅使用足够强度的加密算法,比如AES,RSA
3.存储密码时,用SHA-256等健壮哈希算法进行处理
4.产生的密钥不能与加密信息一起存放
5.严格种植对加密存储的访问

八、URL访问限制缺失
某些Web应用包含一些“隐藏”的URL,这些URL不显示在网页链接中,但管理员可以直接输入URL访问到这些“隐藏“的页面如果我们不对这些URL做到访问限制,攻击者仍然有机会打开他们
OWASP TOP 10漏洞分析
主要防范措施:
1.对于网站内的所有内容(不论公开的还是未公开的)都要进行访问控制检查
2.只允许用户访问特定的文件类型,比如.html,.asp,.php等,进制对其他文件类型的访问
3.进行渗透测试

九、没有足够的传输层防护
攻击者可以尝试抓取客户端与Web服务器的网络包,来获取用户凭据、SessionID等重要信息
OWASP TOP 10漏洞分析
主要的防范措施:
1.对所有验证页面都是用SSL或TLS加密
2.对所有敏感信息的传输都使用SSL/TLS加密
3.在网页中不要混杂HTTP和HTTPs加密
4.对Cookie使用Secure标签
5.保证服务器证书的有效性/合法性
6.只允许SSL 3.0或TLS 1.0 以上的版本协议
7.有需要的情况下,要求客户端证书

十、未验证的重定向和跳转
攻击者可能利用未验证的重定向目标来实现钓鱼欺骗,诱骗用户访问恶意站点
攻击者可能利用未验证的跳转目标来绕过网站的访问控制检查
OWASP TOP 10漏洞分析

主要防范措施:
1.尽量不用重定向和跳转
2.对重定向或跳转的参数内容进行检查,拒绝站外地址或特定站内页面
3.不在URL中显示目标地址,以映射的代码表示
http://example.com/redirect.asp?=234文章来源地址https://www.toymoban.com/news/detail-488479.html

到了这里,关于OWASP TOP 10漏洞分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对

    2024年02月12日
    浏览(44)
  • WEB十大安全漏洞(OWASP Top 10)与渗透测试记录

            每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞。它代表了对 Web 应用程序最关键的安全风险的广泛共识。了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人员的基本要求。 1.失效的访问控制 2.加密机制失效 3.注入 4.不安全的设计 5.安

    2024年02月02日
    浏览(59)
  • OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    章节目录 回顾2017年和2021年OWASP主流漏洞都有哪些 一、访问控制崩溃 表现形式 防范 二、敏感数据暴露 防范 三、注入 sql注入分类 SQL盲注 SQL注入产生点 SQL注入的思路 盲注测试的思路 防范SQL 四、不安全的设计 产生的原因 业务漏洞的显现体现 五、安全配置不当 风险点 防范

    2024年02月05日
    浏览(42)
  • Django SQL注入漏洞分析(CVE-2022-28346)

    Django 在2022年发布的安全更新,修复了在 QuerySet 的 annotate(), aggregate(), extra() 等函数中存在的 SQL 注入漏洞。 2.2= Django Django 2.2.28 3.2= Django Django 3.2.13 4.0= Django Django 4.0.4 需要使用了 annotate 或者 aggregate 或 extra 方法 利用 pycharm 创建一个 python 项目 ​ 创建完成项目后在 Setti

    2024年02月03日
    浏览(49)
  • CVE-2020-11978 Apache Airflow 命令注入漏洞分析与利用

    漏洞软件:Apache Airflow 影响版本:= 1.10.10 Vulhub 漏洞测试靶场 进入 /root/vulhub/airflow/CVE-2020-11978/ 目录 运行以下命令启动环境 在客户端访问 server-ip:8080 找到 example_trigger_target_dag 开启 (有向无环图) 后变为 “On” 状态 在这一列的右侧点击如下按钮 输入以下字符后点击 Trigger 按钮

    2024年02月07日
    浏览(43)
  • 4.网络游戏逆向分析与漏洞攻防-游戏启动流程漏洞-模拟游戏登陆器启动游戏并且完成注入

    内容参考于: 易道云信息技术研究院VIP课 上一个内容:游戏启动流程的分析  码云地址(master 分支):https://gitee.com/dye_your_fingers/titan 码云版本号:bcf7559184863febdcad819e48aaacad9f25d633 代码下载地址,在 titan 目录下,文件名为:titan-模拟游戏登陆器启动游戏并且完成注入.zip 链接

    2024年02月22日
    浏览(42)
  • OWASP Top 10

    OWASP (Open Web Application Security Project) Top 10 是指现在最常见的Web应用程序安全风险清单,该清单是OWASP组织的一份关于Web应用程序安全方面的指南。 OWASP Top 10 最新版本为 2017 年发布。其中包括的风险如下: 注入攻击 (Injection) 注入攻击是指攻击者通过恶意输入,将攻击代码插入

    2024年02月06日
    浏览(53)
  • OWASP TOP 10 之敏感数据泄露

     许多Web应用程序和APl都无法正确保护敏感数据,例如: 财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此我们需要对敏感数据加密,这些数据包括: 传输过程中的数据

    2024年02月03日
    浏览(72)
  • 2022-渗透测试-OWASP TOP10详细讲解

    2024年02月14日
    浏览(48)
  • 网安云知识 | OWASP TOP 10之安全配置错误

    这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。 安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码

    2024年03月09日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包