admin 管理员组

文章数量: 1184232


2024年4月30日发(作者:女生java开发经历)

OWASP 10要素项目:(OWASP,2006):

一、Unvalidated Input 非法输入——在数据被输入程序前忽略对数据合法性的

检验,是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查,非法输

入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

二、Broken Access Control 失效的访问控制——大部分企业都非常关注对已经

建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企

业的控制。

三、Broken Authentication and Session Management 失效的账户和线程管理

——良好的访问控制并不代表万事大吉了。企业还应该保护用户的密码,会话令

牌,账户列表以及其它任何可以给攻击者提供有利信息帮助他 们攻击企业网络

的内容。

四、Cross Site Scripting (XSS) Flaws 跨站点脚本攻击——XSS是一种常见

的攻击。当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中,当没

有保护能力的台式机访问这个页面或资源 时,脚本就会被启动。这种问题可以

影响成百上千的员工以及企业客户的终端电脑。

五、Buffer Overflows 缓存溢出——缓存溢出问题一般出现在较早的编程语言

如C语言编写的程序中。这种编程错误其实也是由于没有很好的确定输入内容在

内存中的位置所草成的。在本 文的后续部分中,我们会讲到,通过一些高级的

编程环境,如Java以及.Net,可以很好的控制此类问题。

六、Injection Flaws 注入式攻击——如果没有成功的阻止带有语法含义的输入

内容,有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容,应

该保持简单,并且不应该还有可被执行的代码内容。

七、Improper Error Handling 异常错误处理——当错误发生时,向用户提交错

误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可

能会被攻击者分析出网络环境的结构或配置。

八、Insecure Storage 不安全的存储——对于Web应用程序来说,妥善的保存

密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息

进行加密是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决

方案,其中就可能存在漏洞。

九、Application Denial of Service 程序拒绝服务——与拒绝服务攻击(DoS)

类似,应用程序的DoS攻击利用大量非法用户抢占应用程序资源,导致合法用户

无法使用该Web应用程序。

十、Insecure Configuration Management 不安全的配置管理——有效的配置管

理过程可以为Web应用程序和企业的网络架构提供良好的保护。 针对以上列表,

我有两点要说明一下。首先,这个列表并不能涵盖企业的Web应用程序中的全部

脆弱点,它只是OWASP的成员组织最常遇到的问题,因此也是 你应该着重检查

的内容。

OWASP Top 10 2007 简介(2009-05-22 15:24:46)

e to Restrict URL AccessURL(访问限制失败)

存在这种弱点的Web应用程序/站点允许攻击者通过“猜测”地址找到URL

re Communications(不安全的通信)

通信不安全是由于无法合理保障内外信息接口的安全而造成的。

re Cryptographic Storage(不安全的加密存储)

加密存储不安全是指敏感信息没有采取合理适当的加密措施就保存在易失性或

非易失性存储器中。

Authentication and Session Management(损坏的验证和会话管理 )

6. Information Leakage and Improper Error Handling(错误处理不当问题 )

如果应用程序或底层基础设施中出现一个错误时向用户提供过多信息,就会造成

错误处理不当问题.

Site Request Forgery (CSRF)(跨站请求伪造)

CSRF与跨站脚本(XSS)非常相似,二者之间只存在一个十分重要的差异:XSS

利用客户端的弱点,而CSRF则利用网站服务器上的弱点。

4. Insecure Direct Object Reference(不安全的直接对象引用 )

不安全的直接对象引用也叫做目录遍历,只需简单调整用户访问一个网站时或直

接提交给用户的脚本中的URL就可以利用这种漏洞。

re Remote File Include(不安全的远程文件包含 [意文件执行])

寻找无法禁止或控制上传文件执行的Web应用程序。PHP 4.0.4——5.x在默认

情况下易于受到这种攻击。.NET和J2EE,如果允许文件上传并执行Web目录中

的功能,也容易受到这种攻击。

ion Flaws(注入缺陷)

允许攻击者通过操纵输入来改变应用程序。

共有三种主要的注入攻击:1.系统调用 命令 注入


本文标签: 应用程序 企业 用户 攻击 信息

版权声明:本文标题:OWASP十大web应用安全漏洞 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1714421669a679571.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。