海塘题库十大Web应用安全风险你了解多少? | 云计算
北京联盟_本文原题:十大Web应用安全风险你了解多少? | 云计算
本文插图
最近公司招了些新手 , 做了些小项目 , 然而很快就出了问题 , 数据库被攻击了 , 损失了已录入700多条数据的数据库 。 痛定思痛 , 这时突然想起了OWASP TOP10(十大最关键的Web应用安全风险) , 所以今天浅谈下OWASP TOP10 , 并将此内容纳入技术团队的培训内容 。
OWASP TOP10描述的是应用软件面临的安全风险 。 OWASP官方网站上的最新版是2017年的版本 , 由于没有最新的版本 , 所以我们以此为标杆 。 这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞 , 可以帮助IT公司和开发团队规范应用程序开发流程和测试流程 , 提高Web产品的安全性 。 这也是我们采用此文档作为培训标杆的根本原因 。
OWASP TOP 10
A1:Injection(注入漏洞)
可利用性:3 - 容易
漏洞普遍性 :2 - 常见
漏洞可检测性:3 - 容易
技术影响:3 - 严重
注入包括SQL注入、OS注入、LDAP(轻量级目录访问协议)注入等 , 可导致解释器将非受信数据作为查询或指令的一部分加以接收 。 攻击者可利用注入来诱骗解释器执行恶意代码 , 或赋予他们本不应有的敏感数据访问权 。
开发人员和经理只要经常进行安全代码审查 , 就可有效避免应用被注入 。 在持续集成和持续交付(CI/CD)管道中引入SAST和动态应用测试(DAST) , 是做到这一点的好办法 。
A2:Broken Authentication(失效的身份认证)
可利用性:3 - 容易
漏洞普遍性 :2 - 常见
漏洞可检测性:2 - 一般
技术影响:3 - 严重
应用的身份验证和会话管理功能 , 未必能正确实现 。 一旦验证和会话管理功能失效 , 攻击者可盗取口令、密钥或会话凭证 。 利用漏洞冒充已验证用户 , 也是攻击者惯用手法之一 。
多因子身份验证是抵御验证失效的最佳办法 , 因为该方法可预防被盗凭证重用攻击之类的事件 。 开发人员和经理不应在应用中留有管理员凭证 。 检查弱口令并限制登录失败次数的功能 , 则应加入到应用中 。
A3:Sensitive DataExposure(敏感数据暴露)
可利用性:2 - 一般
漏洞普遍性 :3 - 普遍
漏洞可检测性:2 - 一般
技术影响:3 - 严重
有些应用和API未引入恰当的敏感信息防护功能 , 金融数据或登录凭证之类的敏感数据未得到应有的保护 。 数字攻击者可利用程序中的缺陷 , 盗取并滥用该敏感信息 , 进行身份盗窃或信用卡诈骗活动 。
只要开发人员和经理确定不了数据防护需求——无论是传输过程中还是存储介质上的数据 , 敏感数据暴露的威胁就不能被缓解 。 他们应先确定哪些数据是敏感的 , 然后用健壮的最新算法加密保护之 。 同时 , 不应存储非必要的敏感信息 , 不必要的敏感信息就应该安全地销毁掉 。
A4:XML ExternalEntities(XXE)XML外部处理器漏洞
可利用性:2 - 一般
漏洞普遍性:2 - 常见
漏洞可检测性:3 - 容易
技术影响:3 - 严重
可扩展标记语言(XML) , 是指定文档编码准则的一种标记语言 , 其处理器负责解析XML文档并采取相应的操作 。 有些XML处理器设计粗劣或配置不当 , 可能对XML文档中的外部实体引用进行求值操作 。 攻击者就能利用这些实体来暴露内部文件 , 进行内部端口扫描 , 实现远程代码执行 。
开发人员和经理可通过序列化敏感数据 , 使用JSON之类简单数据格式的方法 , 来缓解XXE威胁 。 他们还应确保修复升级应用中的所有XML处理器 , 在所有相关XML解析器中禁用XML外部实体处理功能 。
推荐阅读
- 壹筒|曼联四人入选!,英媒评英超历史十大队长:万博基恩领衔
- 萧劲光|十大将中的真正福将,身经百战却毫发未伤,也是最高寿的大将
- 同比增长|天铁股份:第三季度净利润增逾278% 交银三只基金新进十大股东
- 万里扬|万里扬:前三季度净利润同比增长46.3% 北向资金新进十大股东
- 混基|豪迈科技跌停 前十大流通股东泓德基金旗下混基占3席
- 净利润|万里扬:前三季度净利润同比增长46.3% 北向资金新进十大股东
- 收益率|豪迈科技跌停 前十大流通股东泓德基金旗下混基占3席
- 第一财经|十大券商策略:市场有望冲击3500点!A股慢涨已启动
- 篮球大陆|可能加盟湖人的十大自由球员
- 金帝集成灶荣膺集成灶行业十大品牌与集成灶行业畅销产品双料大奖