OWASP Top 10

什么是OWASP？

它的全稱是 Open Web Application Security Project（開放式 Web 應用程式 安全 專案）

TOP 10

OWASP Top 10的意思就是10項最嚴重的Web 應用程式安全風險串列 ，它總結了Web應用程式最可能、最常見、最危險的十大漏洞，是開發、測驗、服務、咨詢人員應知應會的知識，

具體的十大漏洞

1.注入

說明

注入，是sql注入，nosql注入，OS注入和LDAP注入(輕量目錄訪問協議) 等注入，攻擊者可以構造惡意資料通過注入缺陷的決議器執行沒有權限的非預期命令或訪問資料，

產生情況

系統沒有對用戶輸入的資料進行嚴格過濾，導致攻擊者輸入的惡意資料被當做系統命令執行

危害

資料丟失或被篡改；
服務器被遠程控制，被安裝后門；
破壞硬碟資料，癱瘓全系統；
……

防范

特定轉義語法來轉義特殊字符；
資料與Web應用程式邏輯分離；
……

2.失效身份驗證和會話管理

說明

通過錯誤使用應用程式的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者暫時或永久的冒充其他用戶的身份

產生情況

允許用戶使用默認名或者弱密碼；
使用弱哈希加密；
允許暴力破解；
用戶會話或身份驗證令牌在注銷后未及時失效；
……

危害

該漏洞可能導致部分甚至全部賬戶遭受攻擊，一旦攻擊成功，攻擊者就能執行合法的任何操作
……

防范

多因素身份驗證；
弱密碼檢查，禁止用戶使用弱密碼；
限制失敗的登錄嘗試次數，并在檢測到暴力破解或其他攻擊時提醒管理員；
會話或身份令牌應在注銷，空閑后無效；
……

3.敏感資訊泄露

說明

應該受到保護，不應該被公開的資訊被公開了

產生情況

因為防范不嚴，導致攻擊者進入資料庫或者其它位置，查看了敏感的資訊

危害

敏感資訊泄露，導致個人隱私、公司機密外傳，從而造成嚴重的后果

防范

系統防護的再嚴密，也會有被鉆空子的一天，所以需要：
加密存盤和傳輸所有的敏感資料；
確保使用合適強大的標準演算法和密鑰，并且密鑰管理到位；
確保使用密碼專用演算法存盤密碼
及時清除沒有必要存放的重要的/敏感資料
禁用自動收集敏感資料,禁用包含敏感資料的頁面快取
提高操作敏感資訊所需要的權限
……
就算攻擊者進入內部，也對敏感資訊無從下手

4.XML外部物體注入攻擊（XXE）

說明

XML外部物體注入攻擊是針對決議XML輸入的應用程式的一種攻擊，

產生情況

當弱配置的XML決議器處理包含對外部物體的參考的XML輸入時，就會發生此攻擊，

默認情況下，大多數XML決議器容易受到XXE攻擊，因此，確保應用程式不具有此漏洞的責任主要在于開發人員，

危害

攻擊者可以利用這個漏洞竊取URI檔案處理器的內部檔案和共享檔案、監聽內部掃描埠、執行遠程代碼和實施拒絕服務攻擊，

防范

盡可能使用簡單的資料格式（例如JSON），并避免對敏感資料進行序列化；
應用程式或基礎作業系統上修補或升級正在使用的所有XML處理器和庫；
在應用程式的所有XML決議器中禁用XML外部物體和DTD處理，
在服務器端實施（“白名單”）輸入驗證，過濾或清理操作，以防止XML檔案，標頭或節點內的攻擊資料；
……

5.存取控制中斷

說明

在網站安全中，訪問控制意味著根據訪問者的需求限制訪問者可以訪問的部分或頁面，

產生情況

通過身份驗證的用戶，可以訪問其他用戶的相關資訊，沒有實施恰當的訪問權限，

例如，管理員的后臺管理界面，是給管理操作的，但是一些網站，可能管理員的后臺管理界面，普通用戶也可以訪問瀏覽，雖然普通用戶不能操作，但是萬一普通用戶提權成功呢？而且管理員的后臺管理界面上也有一些敏感資訊，普通用戶瀏覽的時候就看到不該看到的東西

危害

攻擊者可以利用這個漏洞去查看未授權的功能和資料，例如：訪問用戶的賬戶、敏感檔案、獲取和正常用戶相同的權限等.

防范

采用特權最低的概念–將角色應用于任務，并且僅在完成該任務所需的時間范圍內應用，而不再需要更多時間；
記錄服務器和網站上的操作：誰在做什么，什么時候做以及為什么做，如果可能，對所有訪問點應用多因素身份驗證，
禁用訪問點，直到需要它們為止，以減少訪問視窗，
從服務器上洗掉不必要的服務，
檢查可從外部訪問的應用程式以及與網路系結的應用程式，

6.安全性錯誤配置

產生情況

安全配置錯誤是比較常見的漏洞，由于操作者的不當配置(默認配置，臨時配置，開源云存盤，http標頭配置，以及包含敏感資訊的詳細錯誤)，安全配置錯誤可以發生在各個層面，包含平臺、web服務器、應用服務器、資料庫、架構和代碼，

危害

攻擊者可以利用這些配置獲取到更高的權限

防范

開發，質量保證和生產環境均應配置相同，并且在每個環境中使用不同的憑據；
使配置環境自動化，以最大程度地減少設定新的安全環境時的人工失誤；
洗掉不需要使用的功能和框架；
將不必要的組件，檔案和樣本都刪掉；

7.跨站腳本攻擊（XSS）

說明

跨站點腳本（XSS）是一個廣泛存在的漏洞，會影響許多Web應用程式，XSS攻擊包括將惡意的客戶端腳本注入網站，并將該網站用作傳播方法，

XSS背后的風險在于，它允許攻擊者將內容注入網站并修改其顯示方式，從而迫使受害者的瀏覽器在加載頁面時執行攻擊者提供的代碼，

通常，XSS漏洞要求用戶通過社交工程或通過訪問特定頁面來觸發某種型別的互動，如果未修補XSS漏洞，則對任何網站來說都是非常危險的，

產生情況

反射型XSS：應用程式或API包含未經驗證和未轉義的用戶輸入，作為HTML輸出的一部分，成功的攻擊可以使攻擊者在受害者的瀏覽器中執行任意HTML和JavaScript，通常，用戶將需要與指向攻擊者控制的頁面的某些惡意鏈接進行互動，例如惡意注水網站，廣告或類似內容，

存盤型XSS：應用程式或API存盤未過濾的用戶輸入，稍后由其他用戶或管理員查看，存盤的XSS通常被認為是高風隙訓嚴重風險，

DOM型 XSS：動態地將攻擊者可控制的資料包含到頁面的JavaScript框架，單頁應用程式和API容易受到DOM型 XSS

危害

獲取cookie；
掛馬掛黑鏈；
做傀儡機

防范

根據HTML輸出中的背景關系（正文，屬性，JavaScript，CSS或URL）轉義不受信任的HTTP請求資料將解決Reflected和Stored XSS漏洞，

8.不安全的反序列化

說明

序列化的程序是將物件轉換為位元組字串，反序列化的程序是將位元組字串轉換為物件，

產生情況

程式嘗試在不進行任何驗證的情況下對資料進行反序列化，這傾向于使攻擊者可以模擬序列化的資料并發送給應用程式以采取任何暴力措施，

危害

導致遠程代碼執行、重放攻擊、注入攻擊或特權升級攻擊

防范

在任何序列化物件上實施完整性檢查（例如，數字簽名），以防止惡意創建物件或篡改資料；
隔離并運行可能在低特權環境中反序列化的代碼；
記錄反序列化例外和失敗，例如傳入型別不是預期的型別，或者反序列化引發例外；
限制或監視反序列化的容器或服務器的傳入和傳出網路連接；
監視反序列化，并警告用戶是否不斷反序列化；
……

9.使用具有已知漏洞的組件

說明

組件有漏洞

產生情況

簡單的網站（例如個人博客），因為是個人運營，因為技術有限，所以對組件有很大的依賴性，
毫無疑問，如果不及時更新網站后端和前端上的每個組件，就會給攻擊者帶來可乘之機

危害

組件(例如庫、框架或其他軟體模塊)擁有應用程式相同的權限，如果應用程式中含有已知漏洞，攻擊者可以利用漏洞獲取資料或接管服務器，同時，使用這些組件會破壞應用程式防御，造成各種攻擊產生嚴重的后果，

防范

洗掉所有不必要的依賴項；
監視諸如常見漏洞和披露（CVE）和國家漏洞資料庫（NVD）之類的源，以查找組件中的漏洞；
僅從官方來源獲取組件；
及時更新組件；
在網站應用程式防火墻的幫助下使用虛擬修補程式；
……

10.日志記錄和監控不足

說明

對網站定期監控，以便在發生問題時立即采取行動，如果沒有有效的日志記錄和監視程序，則可能會增加網站危害的損害，

產生情況

對網站的監視不到位；
對日志的審核不全面細心；
……

危害

不足的日志記錄和監控，以及事件回應缺失或無效的集成，使攻擊者能夠進一步攻擊系統、保持持續性的或攻擊更多的系統，以及對資料的不當操作，

防范

審核日志；
加強監控；
……