WEB十大安全隐患 --序

WEB十大安全隐患

OWASP TOP 10-2010

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。http://www.owasp.org

OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10- 2010。在新版本的OWASP TOP10中主要由以下变化：

1. Top10的命名发生了变化。

原先的Top10全称为“The top 10 most critical web application security vulnerabilities”，即“Web应用的十大关键脆弱性”，现在Top10的全称为“The top 10 most critical web application security risks”，即“Web应用的十大关键风险”

2. OWASP Top 10的风险评估方法

       此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。

3. 替换了2个风险

       此次Top 10与2007年的Top 10相比，　在内容上去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理)，增加了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and forwards”(未验证的重定向和传递)。

OWASP TOP10 2007	OWASP TOP10 2010
A2-注入	A1-注入
A1-跨站脚本（XSS）	A2-跨站脚本（XSS）
A7-错误的认证和会话管理	A3-错误的认证和会话管理
A4-不正确的直接对象引用	A4-不正确的直接对象引用
A5-伪造跨站请求（CSRF）	A5-伪造跨站请求（CSRF）
	A6-安全性误配置
A10-限制远程访问失败	A7-限制远程访问失败
	A8-未验证的重定向和传递
A8-不安全的加密存储	A9-不安全的加密存储
A9-不足的传输层保护	A10-不足的传输层保护
A3-恶意文件执行
A6-不安全的通讯

OWASP风险评估方法

OWASP所选取的10大风险是依据OWASP的风险评估方法，我们从标准的风险模型开始，即风险=可能性*后果，下面我们以以下步骤来说明某个风险的严重程度：

第一步：识别风险

识别风险作为评估的第一步，我们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能造成的后果，当然可能存在多种攻击方法和多种后果，在评估时我们往往会采用最坏选择，这样就能更客观的反应该风险的最终评级；

第二步：考虑影响可能性的因素

通常，我们不可能很精准的说出某个风险的可能性数值，所以我们一般用高、中、低来表示，而且影响某个风险的可能性的因素有很多，对于每个因素我们用0到9的数值来表示。

类别	因素	分项	分值
威胁	技能要求	无需技能	1
需要一些技术	3
高级的计算机用户	4
需要网络和编程技术	6
安全渗透技术	9
成功攻击后攻击者的益处	很低或无益	1
可能会有回报	4
高回报	9
所需资源或机会	需要很大资源或高权限访问	0
需要特定的访问权限和特定的资源	4
需要一些访问权限和资源	7
无需权限或资源	9
所需的攻击者的角色	开发者	2
系统管理员	2
内部用户	4
合作伙伴	5
认证用户	6
匿名Internet用户	9
脆弱性	发现该弱点的难易度	技术上不可行	1
困难	3
容易	7
可用自动化工具发现	9
利用该弱点的难易度	只是理论上的	1
困难	3
容易	5
可用自动化工具实现	9
该弱点的流行度	不为人知	1
隐藏	4
明显	6
公众皆知	9
入侵被察觉的可能性	应用程序主动检测	1
记录日志并审核	3
记录日志未审核	8
无日志	9

第三步：考虑影响后果的因素

在考虑攻击后果的时候，我们会考虑两种后果，一种是应用的“技术后果”，它所使用的数据，提供的功能等等，另一种就是它的“商业后果”，显然后者则更为重要，但往往后者难以估量，所以我们需要尽可能从技术上去考虑，进而来估计后者的数据。

类别	因素	分项	分值
技术后果	保密性损失	很少的非敏感的数据泄漏	2
很少的敏感数据泄漏	6
大量的非敏感数据泄漏	6
大量的敏感数据泄漏	9