从OWASP Top10简要分析Web安全漏洞的趋势

OWASP(The Open Web Application Security Project):开放式Web应用程序安全项目

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和权威性。

从OWASP组织发布的项目,可以了解历年来主流Web安全漏洞类型,及其随时间而变迁的大致情况。

以下为2010,2013,2017年度发布的Top10 Web安全漏洞排行,可作参考
OWASP项目-传送门:http://www.owasp.org.cn/owasp-project
OWASP Top 10: 2010 VS 2013

从OWASP Top10简要分析Web安全漏洞的趋势_第1张图片

OWASP Top 10: 2013 VS 2017

从OWASP Top10简要分析Web安全漏洞的趋势_第2张图片

从以上图例观察,这三次发布的Top10 Web安全漏洞排行中,初步分析:

  • 1.注入漏洞、失效的身份认证始终分列在第1位和第2位,一定程度说明其重要性和攻击危害的程度

  • 2.跨站脚本攻击,在13年前后一段时间里排行也比较靠前,当时XSS算是比较多存在的情况,最近几年也存在不少,但比以往网站已经提高了安全意识进行防御

  • 3.敏感信息泄露,由不安全的加密存储和传输层保护不足合并而成。以往也普遍存在该漏洞,当时重视程度并不算太高,但最近几年一些知名的公司暴露出大量用户的隐私信息事件之后,所造成的负面影响比较大,因此越来越开始重视起来

  • 4.失效的访问控制,由不安全的直接对象引用和功能级访问控制缺失合并而成。对于攻击者伪造成特权用户、管理员等身份进行数据的操纵,对正常用户和网站管理房都有比较大的威胁,引起危害性较大,近年来也比较受重视

  • 5.安全配置错误,这个也是历年来比较常见而且重要的安全问题,因相关配置没有控制好权限和安全规范,导致一些敏感信息暴露,异常抛出时也把权限以外的数据展示出来

  • 6.跨站请求伪造,在最近几年似乎没有前几年那么活跃,可能网站管理者对这方面的安全意识越来越高,被利用的难度和代价加大

  • 7.使用含有已知漏洞的组件,比如库、框架、模块本身存在已知公开的漏洞还继续使用,则有可能被攻击者所利用,对数据存储、服务器权限操作有安全隐患

  • 8.近年新出现的:XML外部实体、不安全的反序列化、不足的日志记录和监控。
    1)XXE,基于XML的Web服务,若支持XML外部文件上传提交,可能在XML文件中插入不受信任的数据,提交后由XML处理器解析存在安全风险
    2)不安全的反序列化,可能导致远程代码执行,以及权限升级攻击
    3)不足的日志记录和监控,缺陷没有及早在本地环境检测和监控到并加以防范,导致有的缺陷一致暴露在正式访问环境中,很有可能被攻击者所利用

你可能感兴趣的:(从OWASP Top10简要分析Web安全漏洞的趋势)