OWASP十大web應(yīng)用安全漏洞

OWASP10要素項目：(OWASP,2006)：一、UnvalidatedInput非法輸入在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗，是一個常見的編程漏洞。隨著我們對Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個主要特點。二、BrokenAccessControl失效的訪問控制——大部分企業(yè)都非常關(guān)注對已經(jīng)建立的連接進行控制，但是，允許一個特定的字符串輸入可以讓攻擊行為繞過企業(yè)的控制。三、BrokenAuthenticationandSessionManagement失效的賬戶和線程管理——良好的訪問控制并不代表萬事大吉了。企業(yè)還應(yīng)該保護用戶的密碼，會話令牌，賬戶列表以及其它任何可以給攻擊者提供有利信息幫助他們攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)容。四、CrossSiteScripting(XSS)Flaws跨站點腳本攻擊XSS是一種常見的攻擊。當(dāng)攻擊腳本被嵌入企業(yè)的Web頁面或其它可以訪問的Web資源中，當(dāng)沒有保護能力的臺式機訪問這個頁面或資源時，腳本就會被啟動。這種問題可以影響成百上千的員工以及企業(yè)客戶的終端電腦。五、BufferOverflows緩存溢出——緩存溢出問題一般出現(xiàn)在較早的編程語言如C語言編寫的程序中。這種編程錯誤其實也是由于沒有很好的確定輸入內(nèi)容在內(nèi)存中的位置所草成的。在本文的后續(xù)部分中，我們會講到，通過一些高級的編程環(huán)境，如Java以及.Net，可以很好的控制此類問題。六、InjectionFlaws注入式攻擊——如果沒有成功的阻止帶有語法含義的輸入內(nèi)容，有可能導(dǎo)致對數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容，應(yīng)該保持簡單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。七、ImproperErrorHandling異常錯誤處理——當(dāng)錯誤發(fā)生時，向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內(nèi)容，就有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。八、InsecureStorage不安全的存儲——對于Web應(yīng)用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關(guān)的信息是非常重要的工作。對這些信息進行加密是非常有效的方式，但是一些企業(yè)會采用那些未經(jīng)實踐驗證的加密解決方案，其中就可能存在漏洞。九、ApplicationDenialofService程序拒絕服務(wù)與拒絕服務(wù)攻擊(DoS)類似，應(yīng)用程序的DoS攻擊利用大量非法用戶搶占應(yīng)用程序資源，導(dǎo)致合法用戶無法使用該Web應(yīng)用程序。十、InsecureConfigurationManagement不安全的配置管理——有效的配置管理過程可以為Web應(yīng)用程序和企業(yè)的網(wǎng)絡(luò)架構(gòu)提供良好的保護。針對以上列表,我有兩點要說明一下。首先，這個列表并不能涵蓋企業(yè)的Web應(yīng)用程序中的全部脆弱點，它只是OWASP的成員組織最常遇到的問題，因此也是你應(yīng)該著重檢查的內(nèi)容。OWASPTop102007簡介（2009-05-2215:24:46）10.FailuretoRestrictURLAccessURL（訪問限制失敗）存在這種弱點的Web應(yīng)用程序/站點允許攻擊者通過“猜測”地址找到URL9.InsecureCommunications（不安全的通信）通信不安全是由于無法合理保障內(nèi)外信息接口的安全而造成的。8.InsecureCryptographicStorage（不安全的加密存儲）加密存儲不安全是指敏感信息沒有采取合理適當(dāng)?shù)募用艽胧┚捅４嬖谝资曰蚍且资源鎯ζ髦小??BrokenAuthenticationandSessionManagement（損壞的驗證和會話管理）6.InformationLeakageandImproperErrorHandling（錯誤處理不當(dāng)問題）如果應(yīng)用程序或底層基礎(chǔ)設(shè)施中出現(xiàn)一個錯誤時向用戶提供過多信息，就會造成錯誤處理不當(dāng)問題.5.CrossSiteRequestForgery（CSRF）（跨站請求偽造）CSRF與跨站腳本（XSS）非常相似，二者之間只存在一個十分重要的差異：XSS利用客戶端的弱點，而CSRF則利用網(wǎng)站服務(wù)器上的弱點。4.InsecureDirectObjectReference（不安全的直接對象引用）不安全的直接對象引用也叫做目錄遍歷，只需簡單調(diào)整用戶訪問一個網(wǎng)站時或直接提交給用戶的腳本中的URL就可以利用這種漏洞。3.InsecureRemoteFileInclude（不安全的遠程文件包含［意文件執(zhí)行］）尋找無法禁止或控制上傳文件執(zhí)行的Web應(yīng)用程序。PHP4.0.4——5.x在默認情況下易于受到這種攻擊。.NET和J2EE，如果允許文件上傳并執(zhí)行Web目錄中的功能，也容易受到這種攻擊。2.InjectionFlaws（注入缺陷）允許攻擊者通過操縱輸入來改變應(yīng)用程序。共有三種主要的注入攻擊：1.系統(tǒng)調(diào)用2.shell命令3.SQL注入

1.CrossSiteScripting（XSS）（跨站腳本）是由于服務(wù)器端引發(fā)該漏洞，但是通過客戶端來執(zhí)行。應(yīng)用方式：1反射式2存儲式3基于文檔對象模型（DOM）A1-CrossSiteXSSflawsoccurwheneveranapplicationtakesusersupplieddataandsendsittoawebbrowserwithoufirstvalidatingorencodingthatcontent.XSSallowsattackerstoexecutescriptinthevictim'sbrowserwhichcanhijackusersessions,defacewebsites,possiblyintroduceworms,etc.Scripting(XSS)A2—InjectionFlawsInjectionflaws,particularlySQLinjection,arecommoninwebapplications.Injectionoccurswhenuser-supplieddataissenttoaninterpreteraspartofacommandorquery.Theattacker'shostiledatatrickstheinterpreterintoexecutingunintendedcommandsorchangingdata.A3-MaliciousFileExecutionCodevulnerabletoremotefileinclusion(RFI)allowsattackerstoincludehostilecodeanddata,resultingindevastatingattacks,suchastotalservercompromise.MaliciousfileexecutionattacksaffectPHP,XMLandanyframeworkwhichacceptsfilenamesorfilesfromusers.A4—InsecureDirectObjectReferenceAdirectobjectreferenceoccurswhenadeveloperexposesareferencetoaninternalimplementationobject,suchasafile,directory,databaserecord,orkey,asaURLorformparameter.Attackerscanmanipulatethosereferencestoaccessotherobjectswithoutauthorization.A5—CrossSiteACSRFattackforcesalogged—onvictim'sbrowsertosendapre—authenticatedrequesttoavulnerablewebapplication,whichthenforcesthevictim'sbrowsertoperformahostileactiontothebenefitoftheattacker.CSRFcanbeaspowerfulasthewebapplicationthatitattacks.RequestForgery(CSRF)

A6—InformationLeakageandImproperErrorHandlingApplicationscanunintentionallyleakinformationabouttheirconfiguration,internalworkings,orviolateprivacythroughavarietyofapplicationproblems.Attackersusethisweaknesstostealsensitivedata,orconductmoreseriousattacks.A7—BrokenAuthenticationandSessionManagementAccountcredentialsandsessiontokensareoftennotproperlyprotected.Attackerscompromisepasswords,keys,orauthenticationtokenstoassumeotherusers'identities.A8—InsecureCryptographicStorageWebapplicationsrarelyusecryptographicfunctionsproperlytoprotectdataandcredentials.Attackersuseweaklyprotecteddatatoconductidentitytheftandothercrimes,suchascreditcardfraud.A9—InsecureCommunicationsApplicationsfrequentlyfailtoencryptnetworktrafficwhenitisnecessarytoprotectsensitivecommunications.A10—FailuretoRestrietURLAccessFrequently,anapplicationonlyprote