欢迎您访问山东道普测评技术有限公司!
公司动态

OWASP Top 10 2017 十大最严重的Web 应用程序安全风险,你都知道吗?

发布时间:12-05-2018    来源:山东省道普测评技术有限公司    

随着信息技术的高速发展和信息化步伐的深入,越来越多的软件应用到各行各业。同时,由于软件涉及客户的重要信息资料,无论由于设计导致的安全漏洞还是由于实现导致的安全漏洞,都会对用户产生巨大的影响。非营利性组织开放式Web应用安全项目(OWASP)发布了2017十大最关键的Web应用安全风险,这是该组织自2013年以来对十大安全风险排名的首次更新。

 

2017年版的《OWASP Top 10》主要基于超过 40家专门从事应用程序安全业务的公司提交的数据,以及对515位个人完成的行业 调查。这些数据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的漏洞。前10大风险项是根据这些流行数据选择和优先排序,并结合了对可利用性、可检测性和影响程度的一致性评估而形成。

 

1、注入

 

将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。

 

2、失效的身份认证

 

通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

 

3、敏感信息泄漏

 

许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。

 

4、XML外部实体(XXE)

 

许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。

 

5、失效的访问控制

 

未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

 

6、安全配置错误

 

安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此,我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置,而且必须及时修补和升级它们。

 

7、跨站脚本(XSS)

 

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或Java 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。

 

8、不安全的反序列化

 

不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。

 

9、使用含有已知漏洞的组件

 

组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

 

10、不足的日志记录和监控

 

不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。

 

有统计信息显示,超过84%的安全漏洞发生在应用程序层,重大Web安全漏洞可影响近乎半数的Web应用程序,52%的Web应用程序会遇到输入验证、跨站点脚本编写和SQL注入等问题,33%的应用程序从未经过安全漏洞测试。因此,做好软应用安全成为防御网络安全事件发生的重要途径。

信息化相关文章