OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)發(fā)布的十大最嚴(yán)重、
最普遍的Web應(yīng)用程序安全漏洞�。這些漏洞在當(dāng)今的Web應(yīng)用程序中非常普遍���,而且具有很高的危害性。
因此被視為web應(yīng)用程序安全領(lǐng)域必須認(rèn)真防范和修復(fù)的關(guān)鍵問題���。而且大家去應(yīng)聘安全測(cè)試崗位或
有安全技能要求的軟件測(cè)試崗位����,熟悉OWASP TOP 10漏洞是必備要求���。以下對(duì)于OWASP TOP 10 逐一介紹�����。
01 訪問控制失效
訪問控制失效漏洞是指由于程序開發(fā)時(shí)的缺陷,導(dǎo)致限制未生效���,從而產(chǎn)生了失效的訪問控制漏洞�。攻擊者可以
利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)����,例如:訪問其他用戶的賬戶、查看敏感文件���、修改其他用戶的數(shù)據(jù)���、
更改訪問權(quán)限等�����。
圖:某酒店系統(tǒng)越權(quán)刪除修改用戶信息漏洞
02 加密機(jī)制失效
加密機(jī)制失效指的是在Web應(yīng)用程序中��,由于加密措施的不當(dāng)或缺失��,導(dǎo)致敏感數(shù)據(jù)在傳輸或存儲(chǔ)過程中被泄露或遭受篡改的風(fēng)險(xiǎn)增加����。這種漏洞通常與加密算法的選擇���、密鑰管理��、協(xié)議使用等方面的問題相關(guān)����。
圖:某深圳公司���,員工將郵箱密碼等敏感上傳github�,導(dǎo)致泄露
03 注入
注入漏洞(Injection)指的是攻擊者通過向應(yīng)用程序輸入惡意數(shù)據(jù),從而實(shí)現(xiàn)對(duì)應(yīng)用程序的攻擊和控制�。這類漏洞主要是由于應(yīng)用程序沒有正確地驗(yàn)證和過濾用戶輸入的數(shù)據(jù),導(dǎo)致惡意代碼得以執(zhí)行�����。從而進(jìn)一步數(shù)據(jù)泄露�、數(shù)據(jù)篡改、系統(tǒng)被控���。
圖:某銀行某站存在注入漏洞���,導(dǎo)致站點(diǎn)賬號(hào)密碼數(shù)據(jù)泄露
04 不安全設(shè)計(jì)
不安全設(shè)計(jì)(Insecure Design) 指的是在應(yīng)用程序設(shè)計(jì)階段就存在的安全缺陷,這些缺陷可能導(dǎo)致應(yīng)用程序容易受到攻擊�。不安全設(shè)計(jì)通常與應(yīng)用程序的架構(gòu)、功能����、數(shù)據(jù)處理和交互方式等方面有關(guān)�。包括關(guān)鍵身份驗(yàn)證、訪問控制���、業(yè)務(wù)邏輯等��。
圖:某網(wǎng)站存在的支付業(yè)務(wù)漏洞��,可通過篡改金融�,1元購(gòu)買保險(xiǎn)。
05 安全配置錯(cuò)誤
安全配置錯(cuò)誤通常是由于不安全的默認(rèn)配置����、不完整的臨時(shí)配置、開源云存儲(chǔ)���、錯(cuò)誤的HTTP標(biāo)頭配置以及包含敏感信息的詳細(xì)錯(cuò)誤信息所造成的�����。因此��,我們不僅需要對(duì)所有操作系統(tǒng)���、框架、庫(kù)和應(yīng)用程序等進(jìn)行安全配置�����,而且必須及時(shí)修補(bǔ)和升級(jí)它們。
圖:某通分站服務(wù)配置不當(dāng)可getshell
06 自帶缺陷和過時(shí)的組件
自帶缺陷和過時(shí)的組件是指Web應(yīng)用程序中使用的第三方庫(kù)��、框架��、插件或其他軟件組件存在已知的安全漏洞����,或者這些組件的版本過于陳舊,不再接收安全更新或修補(bǔ)程序�。若被攻擊者利用,可能會(huì)造成嚴(yán)重的數(shù)據(jù)丟失和服務(wù)器接管�����。同時(shí)����,使用含有已知漏洞的組件的應(yīng)用程序和API可能會(huì)破壞應(yīng)用程序防御、造成各種攻擊并產(chǎn)生嚴(yán)重影響����。
圖:某寶典使用WebView組件,該組件存在任意代碼執(zhí)行漏洞
07 身份識(shí)別和身份驗(yàn)證錯(cuò)誤
通常�,通過錯(cuò)誤使用應(yīng)用程序的身份認(rèn)證和會(huì)話管理功能,攻擊者能夠破譯密碼���、密鑰或會(huì)話令牌��,或者利用其他開發(fā)缺陷來暫時(shí)性或永久性冒充其他用戶的身份��。
在開發(fā)web應(yīng)用程序時(shí)�,開發(fā)人員往往只關(guān)注Web應(yīng)用程序所需的功能��,所以常常會(huì)建立自定義的認(rèn)證和會(huì)話方案�。但是要正確的實(shí)現(xiàn)這些方案卻是很難的。結(jié)果就在退出����、密碼管理、超時(shí)�����、密碼找回�、賬戶更新等方面存在漏洞。
圖:政府某公安系統(tǒng)����,密碼使用弱口令,容易被爆破
08 軟件和數(shù)據(jù)完整性故障
軟件和數(shù)據(jù)完整性故障與不能防止完整性違規(guī)的代碼和基礎(chǔ)設(shè)施有關(guān)�。一個(gè)例子是應(yīng)用程序依賴來自不受信任的來源、存儲(chǔ)庫(kù)和內(nèi)容交付網(wǎng)絡(luò)(CDN)的插件、庫(kù)或模塊���。不安全的CI/CD管道可能會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問�����、惡意代碼或系統(tǒng)受損����。最后�����,許多應(yīng)用程序現(xiàn)在包括自動(dòng)更新功能�����,其中更新在沒有充分完整性驗(yàn)證的情況下被下載并應(yīng)用于以前受信任的應(yīng)用程序����。攻擊者可能會(huì)上傳自己的更新以分發(fā)并在所有安裝上運(yùn)行。另一個(gè)例子是對(duì)象或數(shù)據(jù)被編碼或序列化為攻擊者可以看到和修改的結(jié)構(gòu)�,容易受到不安全的反序列化。
圖:某證券系統(tǒng)存在反序列化命令執(zhí)行漏洞
09 不足的日志記錄和監(jiān)控
“安全日志和監(jiān)控故障”是指當(dāng)安全日志和監(jiān)控機(jī)制未能正確實(shí)施或配置時(shí)����,導(dǎo)致無法有效檢測(cè)和響應(yīng)安全事件的風(fēng)險(xiǎn)�。這類漏洞可能導(dǎo)致組織無法及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)潛在的安全威脅�����。
圖:網(wǎng)絡(luò)日志的重要性
10 服務(wù)端請(qǐng)求偽造
服務(wù)端請(qǐng)求偽造(Server-Side Request Forgery�����,SSRF)大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對(duì)目標(biāo)地址過過濾和限制�����。攻擊者利用此漏洞可誘使服務(wù)器向內(nèi)部系統(tǒng)或不受信任的系統(tǒng)發(fā)起請(qǐng)求�,從而可能泄露敏感信息或執(zhí)行未授權(quán)的操作���。
圖:某博SSRF漏洞
轉(zhuǎn)自https://www.cnblogs.com/zhuuque23/p/18290630
該文章在 2024/9/18 9:52:07 編輯過
400 186 1886
