中文国产,爱琴海论坛在线视频免费播放一 ,狠狠色噜噜狠狠狠狠91

Web 安全：OWASP TOP10 漏洞介紹

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

freeflydom

2024年9月18日 9:52 本文熱度 1044

OWASP TOP 10漏洞是指由Open Web Application Security Project（OWASP）發(fā)布的十大最嚴重、

最普遍的Web應用程序安全漏洞。這些漏洞在當今的Web應用程序中非常普遍，而且具有很高的危害性。

因此被視為web應用程序安全領域必須認真防范和修復的關鍵問題。而且大家去應聘安全測試崗位或

有安全技能要求的軟件測試崗位，熟悉OWASP TOP 10漏洞是必備要求。以下對于OWASP TOP 10 逐一介紹。

01 訪問控制失效

訪問控制失效漏洞是指由于程序開發(fā)時的缺陷，導致限制未生效，從而產生了失效的訪問控制漏洞。攻擊者可以

利用這些缺陷訪問未經(jīng)授權的功能或數(shù)據(jù)，例如：訪問其他用戶的賬戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、

更改訪問權限等。

圖：某酒店系統(tǒng)越權刪除修改用戶信息漏洞

02 加密機制失效

加密機制失效指的是在Web應用程序中，由于加密措施的不當或缺失，導致敏感數(shù)據(jù)在傳輸或存儲過程中被泄露或遭受篡改的風險增加。這種漏洞通常與加密算法的選擇、密鑰管理、協(xié)議使用等方面的問題相關。

圖：某深圳公司，員工將郵箱密碼等敏感上傳github，導致泄露

03 注入

注入漏洞（Injection）指的是攻擊者通過向應用程序輸入惡意數(shù)據(jù)，從而實現(xiàn)對應用程序的攻擊和控制。這類漏洞主要是由于應用程序沒有正確地驗證和過濾用戶輸入的數(shù)據(jù)，導致惡意代碼得以執(zhí)行。從而進一步數(shù)據(jù)泄露、數(shù)據(jù)篡改、系統(tǒng)被控。

圖：某銀行某站存在注入漏洞，導致站點賬號密碼數(shù)據(jù)泄露

04 不安全設計

不安全設計（Insecure Design）指的是在應用程序設計階段就存在的安全缺陷，這些缺陷可能導致應用程序容易受到攻擊。不安全設計通常與應用程序的架構、功能、數(shù)據(jù)處理和交互方式等方面有關。包括關鍵身份驗證、訪問控制、業(yè)務邏輯等。

圖：某網(wǎng)站存在的支付業(yè)務漏洞，可通過篡改金融，1元購買保險。

05 安全配置錯誤

安全配置錯誤通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有操作系統(tǒng)、框架、庫和應用程序等進行安全配置，而且必須及時修補和升級它們。

圖：某通分站服務配置不當可getshell

06 自帶缺陷和過時的組件

自帶缺陷和過時的組件是指Web應用程序中使用的第三方庫、框架、插件或其他軟件組件存在已知的安全漏洞，或者這些組件的版本過于陳舊，不再接收安全更新或修補程序。若被攻擊者利用，可能會造成嚴重的數(shù)據(jù)丟失和服務器接管。同時，使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。

圖：某寶典使用WebView組件，該組件存在任意代碼執(zhí)行漏洞

07 身份識別和身份驗證錯誤

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其他開發(fā)缺陷來暫時性或永久性冒充其他用戶的身份。

在開發(fā)web應用程序時，開發(fā)人員往往只關注Web應用程序所需的功能，所以常常會建立自定義的認證和會話方案。但是要正確的實現(xiàn)這些方案卻是很難的。結果就在退出、密碼管理、超時、密碼找回、賬戶更新等方面存在漏洞。

圖：政府某公安系統(tǒng)，密碼使用弱口令，容易被爆破

08 軟件和數(shù)據(jù)完整性故障

軟件和數(shù)據(jù)完整性故障與不能防止完整性違規(guī)的代碼和基礎設施有關。一個例子是應用程序依賴來自不受信任的來源、存儲庫和內容交付網(wǎng)絡(CDN)的插件、庫或模塊。不安全的CI/CD管道可能會導致未經(jīng)授權的訪問、惡意代碼或系統(tǒng)受損。最后，許多應用程序現(xiàn)在包括自動更新功能，其中更新在沒有充分完整性驗證的情況下被下載并應用于以前受信任的應用程序。攻擊者可能會上傳自己的更新以分發(fā)并在所有安裝上運行。另一個例子是對象或數(shù)據(jù)被編碼或序列化為攻擊者可以看到和修改的結構，容易受到不安全的反序列化。

圖：某證券系統(tǒng)存在反序列化命令執(zhí)行漏洞

09 不足的日志記錄和監(jiān)控

“安全日志和監(jiān)控故障”是指當安全日志和監(jiān)控機制未能正確實施或配置時，導致無法有效檢測和響應安全事件的風險。這類漏洞可能導致組織無法及時發(fā)現(xiàn)和應對潛在的安全威脅。

圖：網(wǎng)絡日志的重要性

10 服務端請求偽造

服務端請求偽造（Server-Side Request Forgery，SSRF）大都是由于服務端提供了從其他服務器應用獲取數(shù)據(jù)的功能且沒有對目標地址過過濾和限制。攻擊者利用此漏洞可誘使服務器向內部系統(tǒng)或不受信任的系統(tǒng)發(fā)起請求，從而可能泄露敏感信息或執(zhí)行未授權的操作。

圖：某博SSRF漏洞