WEB安全测试----2010年OWASP十大WEB应用安全风险

The OWASP Top 10 Web Application Security Risks for 2010 are:

  A1:Injection
  A2:Cross-Site Scripting (XSS)
  A3:Broken Authentication and Session Management
  A4:Insecure Direct Object References
  A5:Cross-Site Request Forgery (CSRF)
  A6:Security Misconfiguration
  A7:Insecure Cryptographic Storage
  A8:Failure to Restrict URL Access
  A9:Insufficient Transport Layer Protection
  A10:Unvalidated Redirects and Forwards

  OWASP的十大Web应用程序的2010年安全风险:

  A1:注入(典型的就是SQL注入,这个方面后续分享一些典型案例,OS以及LDAP注入,这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发生的恶意数据可以欺骗解释器,从而执行计划外的命令或者访问未经授权的数据)

  A2:跨站点脚本(XSS)(当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生XSS。XSS允许攻击者在受害者的浏览器上执行脚本,从而绑架用户会话、危害网站、或者将用户转向恶意网站,表现出来的特征就像中毒一样。)

  A3:失效的身份认证和会话管理(身份认证和会话控制如果得不到正确的实现,就会导致攻击者破坏密码、密钥、会话令牌或者攻击其他的漏洞去冒充其他用户的身份。通俗点讲就是容易“冒名顶替”)

  A4:不安全的直接对象引用(当开发人员暴露一个对内部实现对象的引用时,例如一个文件、目录或者数据库密钥,就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控这些引用去访问未经授权的数据。)

  A5:跨站点请求伪造(CSRF)(一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的HTTP请求,包括该用户的会话Cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户流浪器向存在的应用程序发送请求,而这些请求会被应用程序认为是合法是请求。)

  A6:安全配置错误(好的安全配置对应用程序、框架、应用程序服务器、web服务器、数据库服务器以及平台,定义和执行安全配置)

  A7:不安全的加密存储(许多web应用程序并没有使用恰当的加密措施或者Hash算法保护敏感数据,比如跟钱相关的信用卡,身份信息等,攻击者可能利用这种弱保护数据实施身份盗窃,信用卡诈骗等。CSDN、人人网就是血淋淋的教训,用户资料竟然连基本的加密都没有,更何况是采用安全的加密存储。)

  A8:不限制URL访问(许多web应用程序在显示受保护的连接和按钮之前会检测URL的访问权限。但是,当这些页面在被访问是,应用程序也需要执行类似的访问控制检测,否则攻击者将可以伪造这些URL去访问隐藏的页面)

  A9:传输层保护不足(应用程序时常没有进行身份认证、加密措施,甚至没有保护敏感网络数据的保密性和完整性,而当进行保护时,应用程序有时采用弱算法,使用过期或无效的证书,或不正确的使用这些技术。)

  A10:未经验证的重定向和转发(web应用程序经常性将用户重定向和转发到其他网页和站点,并利用不可信的数据区判断目的页面,如果没有得到适当的验证,攻击者可以重定向受害用户到钓鱼软件或者恶意网站,或者使用转发去访问未授权的页面)

  寻找这十类安全漏洞,比较经典的工具有JSky 能够扫描注入SQL注入。

  全面支持如下Web漏洞的扫描:

  ● SQL注入(SQL Injection )

  ● 跨站脚本(XSS )

  ● 不安全的对象引用(Unsecure object using )

  ● 本地路径泄露(Local path disclosure )

  ● 不安全的目录权限(Unsecure directory permissions )

  ● 服务器漏洞如缓冲区溢出和配置错误(Server vulnerabilities like buffer overflow and configure error)

  ● 敏感目录和文件扫描(Possible sensitive directories and files scan )

  ● 备份文件扫描(Backup files scan )

  ● 源代码泄露(Source code disclosure )

  ● 命令执行(Command Execute )

  ● 文件包含(File Include )

  ● Web木马后门(Web backdoor )

  ● 敏感信息(Sensitive information )

  ● 等等......

你可能感兴趣的:(安全测试)