除了關注業務本身外,越來越多的企業也開始關注web安全,Web安全領域我們經常看到OWASP Top 10,那么什么是OWASP Top 10呢?它跟Web有什么關系呢?
OWASP(開放式Web應用程式安全專案)是一個開源的、非營利性的全球性安全組織,致力于改進Web應用程式的安全,這個組織最出名是,它總結了10種最嚴重的Web應用程式安全風險,警告全球所有的網站擁有者,應該警惕這些最常見、最危險的漏洞,
這就是著名的OWASP Top 10,
OWASP Top 10包括:注入、失效身份驗證和會話管理、敏感資訊泄露、XML外部物體注入攻擊(XXE)、存取控制中斷、安全性錯誤配置、跨站腳本攻擊(XSS)、不安全的反序列化、使用具有已知漏洞的組件、日志記錄和監控不足,
注入
當Web應用程式缺乏對使用的資料進行驗證和清理的時候,極易發生注入攻擊,著名的注入攻擊有SQL注入、NoSQL注入、OS注入等,注入攻擊會導致資料丟失和被破壞,甚至主機被黑客完全接管,
失效身份驗證和會話管理
失效身份驗證和會話管理主要發生在Web應用程式身份驗證環節,身份驗證機制出現邏輯問題便會出現此類問題,黑客會利用身份驗證漏洞,嘗試控制系統中的賬戶,一旦操作成功,他便能合法的進行任何操作,
敏感資訊泄露
敏感資訊泄露是目前存在最廣泛的Web應用程式問題,Web應用程式、API未加密,或者無法準確保護敏感資訊,均會導致個人資訊、密碼等敏感資訊泄露,被黑客出售給第三人,或用于違法犯罪目的,
XML外部物體注入攻擊(XXE)
這種攻擊主要針對決議XML輸入的Web應用程式,弱配置的XML決議器處理包含外部物體參考的XML輸入時,就會發生XXEE攻擊,黑客會利用這個漏洞竊取URI檔案處理器的內部檔案和共享檔案,從而監聽或執行遠程代碼,或發動拒絕服務攻擊,
存取控制中斷
如果對已經身份驗證通過的用戶,沒有實施合適的訪問權限控制,那么攻擊者便可以通過這個漏洞,去使用未經授權的功能,以及查看未經授權的資料,例如訪問用戶的賬戶、查看敏感檔案等等,
安全性錯誤配置
操作者使用默認配置、臨時配置、開源云存盤、http標頭配置等不當配置,攻擊者便會利用這些錯誤配置,獲得更高的權限,安全性錯誤配置是最常見的漏洞之一,攻擊難度低,攻擊者可使用自動化程式發動攻擊,極其危險,
跨站腳本攻擊(XSS)
黑客將惡意的客戶端腳本注入到目標網站,并將該網站用作傳播方法,攻擊者發動XSS攻擊后,受害網站的顯示方式會被黑客控制,網站會被黑客重定向至新頁面,或者顯示廣告、違法犯罪等內容,
不安全的反序列化
攻擊程式會嘗試在不進行任何驗證的情況下,對資料進行反序列化,不安全的反序列化會導致遠程代碼執行、重放攻擊、注入攻擊等,
使用具有已知漏洞的組件
如果Web應用程式含有已知的漏洞,攻擊者可利用漏洞獲取資料或接管服務器,Web應用程式所使用的框架、庫或者其他軟體模塊,會破壞應用程式的防御,造成更為嚴重的后果,
日志記錄和監控不足
日志記錄和監控是一種有效的防范手段,它能在發送問題時,幫助你迅速采取行動,如果應用程式日志記錄和監控不足,黑客能進一步控制系統,造成更大、更長遠的危害,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/276319.html
標籤:其他
上一篇:Java 深入理解執行緒池
下一篇:水杯如何測驗 (測驗用例)