章节目录
回顾2017年和2021年OWASP主流漏洞都有哪些
总览
2017年版 2021年版
- 注入 访问控制崩溃
- 认证崩溃 加密失败
- 敏感数据异常 注入
- XML外部实体(XXE) 不安全的设计
- 访问控制崩溃 安全配置不当
- 安全配置不当 易受攻击和过时的组件
- 跨站脚本(XSS) 识别和认证失败
- 不安全的反序列化 软件和数据完整性失效
- 使用已知漏洞组件 安全日志记录和监控失败
- 日子记录和监控不充分 服务器请求伪造
一、访问控制崩溃
通过身份验证的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限,攻击者可以利用这个漏洞去查看未授权的功能和数据
表现形式
越权漏洞 {水平越权,垂直越权(向上垂直,向下兼容)}
例如:访问其他用户的账户信息、查看敏感文件、修改其他用户的数据、更改访问权限等
-
通过修改URL、内部应用程序状态或HTML页面绕过访问控制检查或简单地使用自定义地APL攻击工具。
-
允许将主键更改为其他用户地记录,例如查看或编辑他人地账户
-
特权提升,在不登陆地情况下假扮用户,或以用户身份登录时充当管理员
-
以未通过身份验证地用户身份强制浏览地通过身份验证时才能看到地页面或标准用户访问具有相关权限地页面或API没有对POST、PUT、DELETE强制执行访问控制
防范
-
除公有资源外,默认情况下拒绝访问
-
严格判断权限,用户只能操作属于自己的内容
-
记录失败的访问控制,并适当时向管理员告警
-
对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害
-
当用户注销后,服务器上的JWT令牌失效
二、敏感数据暴露
Web应用程序和API都无法正确保护敏感数据,攻击者可泄露容易受到破坏,因此需要对敏感信息数据加密
存在原因:数字系统越来越多,用户个人信息收集后储存分散,业务使用中管理不规范;员工下载违规软件等,导致公司信息泄露等
防范
-
加强员工意识,禁止上传代码
-
谨慎使用第三方云服务器,不要把工作内容存放到云端
-
禁止使用工作邮箱注册非工作相关网站
三、注入
注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的执行语句&