

下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
OWASP10要素項目:(OWASP,2006):一、UnvalidatedInput非法輸入在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗,是一個常見的編程漏洞。隨著我們對Web應(yīng)用程序脆弱性的調(diào)查,非法輸入的問題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個主要特點。二、BrokenAccessControl失效的訪問控制——大部分企業(yè)都非常關(guān)注對已經(jīng)建立的連接進行控制,但是,允許一個特定的字符串輸入可以讓攻擊行為繞過企業(yè)的控制。三、BrokenAuthenticationandSessionManagement失效的賬戶和線程管理——良好的訪問控制并不代表萬事大吉了。企業(yè)還應(yīng)該保護用戶的密碼,會話令牌,賬戶列表以及其它任何可以給攻擊者提供有利信息幫助他們攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)容。四、CrossSiteScripting(XSS)Flaws跨站點腳本攻擊XSS是一種常見的攻擊。當(dāng)攻擊腳本被嵌入企業(yè)的Web頁面或其它可以訪問的Web資源中,當(dāng)沒有保護能力的臺式機訪問這個頁面或資源時,腳本就會被啟動。這種問題可以影響成百上千的員工以及企業(yè)客戶的終端電腦。五、BufferOverflows緩存溢出——緩存溢出問題一般出現(xiàn)在較早的編程語言如C語言編寫的程序中。這種編程錯誤其實也是由于沒有很好的確定輸入內(nèi)容在內(nèi)存中的位置所草成的。在本文的后續(xù)部分中,我們會講到,通過一些高級的編程環(huán)境,如Java以及.Net,可以很好的控制此類問題。六、InjectionFlaws注入式攻擊——如果沒有成功的阻止帶有語法含義的輸入內(nèi)容,有可能導(dǎo)致對數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容,應(yīng)該保持簡單,并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。七、ImproperErrorHandling異常錯誤處理——當(dāng)錯誤發(fā)生時,向用戶提交錯誤提示是很正常的事情,但是如果提交的錯誤提示中包含了太多的內(nèi)容,就有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。八、InsecureStorage不安全的存儲——對于Web應(yīng)用程序來說,妥善的保存密碼,用戶名,以及其它與身份驗證有關(guān)的信息是非常重要的工作。對這些信息進行加密是非常有效的方式,但是一些企業(yè)會采用那些未經(jīng)實踐驗證的加密解決方案,其中就可能存在漏洞。九、ApplicationDenialofService程序拒絕服務(wù)與拒絕服務(wù)攻擊(DoS)類似,應(yīng)用程序的DoS攻擊利用大量非法用戶搶占應(yīng)用程序資源,導(dǎo)致合法用戶無法使用該Web應(yīng)用程序。十、InsecureConfigurationManagement不安全的配置管理——有效的配置管理過程可以為Web應(yīng)用程序和企業(yè)的網(wǎng)絡(luò)架構(gòu)提供良好的保護。針對以上列表,我有兩點要說明一下。首先,這個列表并不能涵蓋企業(yè)的Web應(yīng)用程序中的全部脆弱點,它只是OWASP的成員組織最常遇到的問題,因此也是你應(yīng)該著重檢查的內(nèi)容。OWASPTop102007簡介(2009-05-2215:24:46)10.FailuretoRestrictURLAccessURL(訪問限制失敗)存在這種弱點的Web應(yīng)用程序/站點允許攻擊者通過“猜測”地址找到URL9.InsecureCommunications(不安全的通信)通信不安全是由于無法合理保障內(nèi)外信息接口的安全而造成的。8.InsecureCryptographicStorage(不安全的加密存儲)加密存儲不安全是指敏感信息沒有采取合理適當(dāng)?shù)募用艽胧┚捅4嬖谝资曰蚍且资源鎯ζ髦小??BrokenAuthenticationandSessionManagement(損壞的驗證和會話管理)6.InformationLeakageandImproperErrorHandling(錯誤處理不當(dāng)問題)如果應(yīng)用程序或底層基礎(chǔ)設(shè)施中出現(xiàn)一個錯誤時向用戶提供過多信息,就會造成錯誤處理不當(dāng)問題.5.CrossSiteRequestForgery(CSRF)(跨站請求偽造)CSRF與跨站腳本(XSS)非常相似,二者之間只存在一個十分重要的差異:XSS利用客戶端的弱點,而CSRF則利用網(wǎng)站服務(wù)器上的弱點。4.InsecureDirectObjectReference(不安全的直接對象引用)不安全的直接對象引用也叫做目錄遍歷,只需簡單調(diào)整用戶訪問一個網(wǎng)站時或直接提交給用戶的腳本中的URL就可以利用這種漏洞。3.InsecureRemoteFileInclude(不安全的遠程文件包含[意文件執(zhí)行])尋找無法禁止或控制上傳文件執(zhí)行的Web應(yīng)用程序。PHP4.0.4——5.x在默認情況下易于受到這種攻擊。.NET和J2EE,如果允許文件上傳并執(zhí)行Web目錄中的功能,也容易受到這種攻擊。2.InjectionFlaws(注入缺陷)允許攻擊者通過操縱輸入來改變應(yīng)用程序。共有三種主要的注入攻擊:1.系統(tǒng)調(diào)用2.shell命令3.SQL注入
1.CrossSiteScripting(XSS)(跨站腳本)是由于服務(wù)器端引發(fā)該漏洞,但是通過客戶端來執(zhí)行。應(yīng)用方式:1反射式2存儲式3基于文檔對象模型(DOM)A1-CrossSiteXSSflawsoccurwheneveranapplicationtakesusersupplieddataandsendsittoawebbrowserwithoufirstvalidatingorencodingthatcontent.XSSallowsattackerstoexecutescriptinthevictim'sbrowserwhichcanhijackusersessions,defacewebsites,possiblyintroduceworms,etc.Scripting(XSS)A2—InjectionFlawsInjectionflaws,particularlySQLinjection,arecommoninwebapplications.Injectionoccurswhenuser-supplieddataissenttoaninterpreteraspartofacommandorquery.Theattacker'shostiledatatrickstheinterpreterintoexecutingunintendedcommandsorchangingdata.A3-MaliciousFileExecutionCodevulnerabletoremotefileinclusion(RFI)allowsattackerstoincludehostilecodeanddata,resultingindevastatingattacks,suchastotalservercompromise.MaliciousfileexecutionattacksaffectPHP,XMLandanyframeworkwhichacceptsfilenamesorfilesfromusers.A4—InsecureDirectObjectReferenceAdirectobjectreferenceoccurswhenadeveloperexposesareferencetoaninternalimplementationobject,suchasafile,directory,databaserecord,orkey,asaURLorformparameter.Attackerscanmanipulatethosereferencestoaccessotherobjectswithoutauthorization.A5—CrossSiteACSRFattackforcesalogged—onvictim'sbrowsertosendapre—authenticatedrequesttoavulnerablewebapplication,whichthenforcesthevictim'sbrowsertoperformahostileactiontothebenefitoftheattacker.CSRFcanbeaspowerfulasthewebapplicationthatitattacks.RequestForgery(CSRF)
A6—InformationLeakageandImproperErrorHandlingApplicationscanunintentionallyleakinformationabouttheirconfiguration,internalworkings,orviolateprivacythroughavarietyofapplicationproblems.Attackersusethisweaknesstostealsensitivedata,orconductmoreseriousattacks.A7—BrokenAuthenticationandSessionManagementAccountcredentialsandsessiontokensareoftennotproperlyprotected.Attackerscompromisepasswords,keys,orauthenticationtokenstoassumeotherusers'identities.A8—InsecureCryptographicStorageWebapplicationsrarelyusecryptographicfunctionsproperlytoprotectdataandcredentials.Attackersuseweaklyprotecteddatatoconductidentitytheftandothercrimes,suchascreditcardfraud.A9—InsecureCommunicationsApplicationsfrequentlyfailtoencryptnetworktrafficwhenitisnecessarytoprotectsensitivecommunications.A10—FailuretoRestrietURLAccessFrequently,anapplicationonlyprote
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 飯店承租安全協(xié)議書
- 運營車輛回收協(xié)議書
- 解除培訓(xùn)合同協(xié)議書
- 企業(yè)總經(jīng)理聘用協(xié)議書
- 項目招商入股協(xié)議書
- 車輛抵消債務(wù)協(xié)議書
- 酒店保潔承包協(xié)議書
- 餐飲加工合同協(xié)議書
- 企業(yè)復(fù)印機租賃協(xié)議書
- 餐飲器材轉(zhuǎn)讓協(xié)議書
- 宣傳工作實務(wù)-形考任務(wù)三-國開(FJ)-參考資料
- 揚塵防治(治理)監(jiān)理實施細則(范本)
- 醫(yī)療機構(gòu)設(shè)備搬遷及運輸方案
- 檢驗科三基試題及答案
- 2023年云南省初中學(xué)業(yè)水平考試信息技術(shù)總復(fù)習(xí)資料
- 三年級下冊數(shù)學(xué)《6.1 年、月、日》課件
- 國家開放大學(xué)電大《計算機應(yīng)用基礎(chǔ)(本)》學(xué)士學(xué)位論文家用電器銷售管理系統(tǒng)的設(shè)計與實現(xiàn)
- 教師語言與溝通藝術(shù)智慧樹知到期末考試答案2024年
- 《土石壩瀝青混凝土面板和心墻設(shè)計規(guī)范》
- 內(nèi)控合規(guī)風(fēng)險管理手冊
- 注射相關(guān)感染預(yù)防與控制-護理團標(biāo)
評論
0/150
提交評論