搜索
查看: 1343|回复: 0

OWASP TOP 10

[复制链接]

264

主题

373

帖子

827

积分

vip用户

Rank: 6Rank: 6

积分
827

注册会员活跃会员热心会员

QQ
发表于 2020-7-13 16:31:41 | 显示全部楼层 |阅读模式

OWASP Top 10:

10 大最关键 Web 应用安全隐患列表

A1:2017-Injection(注入漏洞)

不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括 SQL、NoSQL、OS 以及 LDAP 注入等。测试者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问数据。

A2:2017-BrokenAuthentication(失效的身份认证)

通过错误使用应用程序的身份认证和会话管理功能,测试者能够破译密码、密钥或会话令牌,或者暂时或永久的冒充其他用户的身份。

A3:2017-Sensitive DataExposure(敏感数据泄露)

许多 Web 应用程序和 API 不能正确的保护敏感数据,如金融、医疗保健和 PII(个人身份信息)等。测试者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为。在缺少额外保护(例如,在存放和传输过程中加密,且在与浏览器进行交换时需要特别谨慎)的情况下,敏感数据可能会受到损害。

A4:2017-XML ExternalEntities(XXE)(XML 外部处理器漏洞)

许多过时的或配置不当的 XML 处理器在 XML 文档内进行外部实体引用。外部实体可用于泄露内部文件,通过使用文件 URI 处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务测试等手段。

A5:2017-Broken AccessControl(中断访问控制)

限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。测试者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等。

A6:2017-SecurityMisconfiguration(安全配置错误)

安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整或 ad hoc 配置,开放云存储,错误配置的 HTTP 标头,以及包含敏感信息的详细错误信息造成的。所有的操作系统、框架、库、应用程序都需要进行安全配置外,还必须要及时进行系统更新和升级。

A7:2017-Cross-SiteScripting(XSS)(跨站脚本测试)

如果应用程序在未经适当验证或转义的情况下,能够在新网页中包含不受信任的数据,或是使用可以创建 HTML 或者 JavaScript 的浏览器 API 更新包含用户提供的数据的现有网页,就会出现 XSS 漏洞。XSS 允许测试者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。

A8:2017-InsecureDeserialization(不安全的反序列化)

不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行,也可以被用来执行测试,包括重放测试、注入测试以及权限提升测试等。

A9:2017-UsingComponents with Known Vulnerabilities(使用含有已知漏洞的组件)

如果存在漏洞的组件被利用,这种测试可能会导致严重的数据丢失或服务器接管危机。使用已知漏洞组件的应用程序和 API 可能会破坏应用程序的防御系统,从而启动各种形式的测试,造成更为严重的影响。

A10:2017-InsufficientLogging & Monitoring(不足的记录和监控漏洞)

不足的记录和监控漏洞,再加上事件响应能力欠缺以及缺少有效的整合,使得测试者可以进一步测试系统,维持其持久性,转而测试更多的系统,并篡改、提取或销毁数据。大部分的数据泄露研究显示,检测出发生数据泄漏的时间通常需要超过 200 天,而且通常是外部机构率先发现数据泄漏的事实,而不是通过内部的审计流程或监控发现的。

有没有参加CTF比赛的,一起组队啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

温馨提示
1:发帖请遵守《中华人民共和国网络安全法》,发帖内容不得维护国家的、集体的、个人的利益。
2:请勿发布恶意攻击他人的技术文章、工具、和使用教程,发现后删帖处理。
3:本站的目的在于让更多的人了解网络安全,避免受到他人的恶意攻击。
4:本站中的部分文章,可能会出现一些“技术类手段”,但这仅仅为学习演示所用,而非恶意传播技术。
5:本站中的部分文章,可能转载自互联网。如有侵权行为,联系我们删除即可。
6:学习仅是充实头脑,切勿恶意攻击个人、企业等。所造成的法律后果一切由自己承担,本站及其站长概不负责。
我知道了
快速回复 返回顶部 返回列表