owasp十大web漏洞_OWASP的十大Web应用程序安全风险

owasp十大web漏洞

开放Web应用程序安全性项目（OWASP）是一个全球性的非营利慈善组织，致力于改善软件的安全性。 其任务是使软件安全可见 ，以便全世界的个人和组织可以就真正的软件安全风险做出明智的决定 。 该组织每隔几年就会发布有关Web应用程序安全风险的前十名列表。 该列表于2003年首次发布，并于2013年6月进行了更新。

这是它们的10个最关键的Web应用程序安全风险的摘要。 单击每个链接以获取更多详细信息。

当将不受信任的数据作为命令或查询的一部分发送到解释器时，会发生诸如SQL，OS和LDAP注入之类的注入漏洞。 攻击者的敌对数据可能会诱使解释器执行未经预期的命令或未经适当授权而访问数据。

与身份验证和会话管理相关的应用程序功能通常无法正确实现，从而使攻击者可以破坏密码，密钥或会话令牌，或者利用其他实现缺陷来假定其他用户的身份。

每当应用程序获取不受信任的数据并将其发送到Web浏览器而没有适当的验证或转义时，就会发生XSS漏洞。 XSS允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话，破坏网站或将用户重定向到恶意网站。

当开发人员公开对内部实现对象（例如文件，目录或数据库密钥）的引用时，就会发生直接对象引用。 在没有访问控制检查或其他保护的情况下，攻击者可以操纵这些引用来访问未经授权的数据。

良好的安全性要求为应用程序，框架，应用程序服务器，Web服务器，数据库服务器和平台定义并部署安全配置。 应该定义，实施和维护安全设置，因为默认设置通常不安全。 此外，软件应保持最新。

许多Web应用程序不能适当地保护敏感数据，例如信用卡，税号和身份验证凭据。 攻击者可能会窃取或修改这些受保护程度不高的数据，以进行信用卡欺诈，身份盗窃或其他犯罪。 敏感数据应获得额外的保护，例如静态或传输中的加密，以及与浏览器交换时的特殊预防措施。

大多数Web应用程序在使功能在UI中可见之前会先验证功能级别的访问权限。 但是，当访问每个功能时，应用程序需要在服务器上执行相同的访问控制检查。 如果未验证请求，攻击者将能够伪造请求，以在没有适当授权的情况下访问功能。

CSRF攻击迫使登录的受害者的浏览器向易受攻击的Web应用程序发送伪造的HTTP请求（包括受害者的会话cookie和其他任何自动包含的身份验证信息）。 这使攻击者可以迫使受害者的浏览器生成请求，而易受攻击的应用程序认为该请求是来自受害者的合法请求。

诸如库，框架和其他软件模块之类的组件几乎总是以完全特权运行。 如果利用了易受攻击的组件，则此类攻击可能会导致严重的数据丢失或服务器接管。 使用具有已知漏洞的组件的应用程序可能会破坏应用程序防御，并可能造成一系列可能的攻击和影响。

Web应用程序经常将用户重定向并转发到其他页面和网站，并使用不受信任的数据来确定目标页面。 没有适当的验证，攻击者就可以将受害者重定向到网络钓鱼或恶意软件站点，或者使用转发来访问未经授权的页面。

对于Web应用程序开发人员而言，了解更为关键的常见风险并制定减轻这些风险的做法非常重要。

最后说明

Web应用程序开发人员必须积极防御这些安全风险，因此保持最新状态非常重要。 利用此摘要作为起点，您可以进行研究并减轻风险。

参考： Keyhole Software博客上的JCG合作伙伴 Todd Horn提出的OWASP带来的十大Web应用程序安全风险 。

翻译自: https://www.javacodegeeks.com/2013/11/top-10-web-application-security-risks-from-owasp.html

owasp十大web漏洞