OWASP A5-A10

最新推荐文章于 2024-01-17 16:35:43 发布
最新推荐文章于 2024-01-17 16:35:43 发布
阅读量166 收藏
点赞数
分类专栏: web 安全 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ID33Dhy/article/details/120348975
版权
安全 同时被 2 个专栏收录
14 篇文章 3 订阅
订阅专栏
web
11 篇文章 0 订阅
订阅专栏

A5失效的身份认证和会话管理

  1. 身份认证一般是登录网页的登陆过程需要用户提交身份信息和账号密码,身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等;

危害

窃取用户凭证cookie等,修改用户的个人信息和盗取账户等操作。

http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
这个链接当中包含了sessionid会话ID已经将自己的信息进行了泄露

同样的就是数据库信息和数据库密码容易在这里暴露出来

如何判断

1.用户身份验证凭证没有使用哈希或加密保护。
2.认证凭证可猜测,或者能够通过薄弱的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱会话ID)重写。
3.会话ID暴露在URL里(例如URL重写)。
4.会话ID容易受到会话固定(session fixation)的攻击。
5.会话ID没有超时限制,或者用户会话或身份验证令牌特别是单点登录令牌在用户注销时没有失效。
6.成功注册后,会话ID没有轮转。
7.密码、会话ID和其他认证凭据使用未加密连接传输。

介绍

cookie指的是会话保持session中客户端保持状态的方案
写在http的响应头set-cookie段
http-only不允许Javascript防止XSS攻击
分为:
会 话Cookie:会话周期,浏览器窗口关闭就消失,在内存里面
永久性Cookie:可以在不同浏览器进行共享,存储在硬盘中

Session机制

相比较Cookie存放在客户端,Session存放在服务端,会话结束,服务端结束本次传输
,每次会话会有一个SessionID存放在Cookie中发放给客户端,会话期间的存活期是30分钟

认证漏洞

1.登录网页的时候没有登陆次数限制,也没有验证码限制,可以通过工具进行暴力破解
2.找回密码方式过于简单,容易让知道账号的人进行盗取密码
3.重放攻击,破坏身份认证的 正确性,将劫持的数据包重新发放给服务器达到欺骗目的

HTTP会话劫持

三种方式,暴力破解sessionID,窃取sessionid,XSS和抓包过于简单的sessionid可以被计算出来。

HTTP会话固定

攻击者事先准备一个会话让用户登录,如果用户登陆了网站,sessionid没有过期,就可以使用这个session 的cookie信息再次登录

A6不安全的直接对象引用 Insecurity Direct Object Reference

指的是一个活的授权的用户通过某些参数获得了其他的访问权限访问了一些其他的并没有得到授权的内容。
用户登录某一个站点之后,进行了一次身份验证之后,程序不会每次都验证用户是否有权限访问本目录,就会存在不安全的对象引用漏洞。

预防

1.因为不安全的对象引用有一部分原因是因为能够猜测到用户的ID或者标识符号,但是如果使用一些复杂的标识符变得难以猜测。
2.加强用户的访问控制策略,对于来自不可信任的源的对象必须通过访问控制的检查。
3.使用间接对象访问控制,将间接引用映射到数据库关键字

A7 功能级访问控制缺失

任何人具有网络的访问权限,然后没有严格限制权限,一个拥有权限访问网页的人但是修改了网页怎么办,管理性功能主要会存在这类漏洞。

检测:

1.用户UI界面是否存在到未授权功能的导航
2.服务端的身份验证功能是否完善
3.服务端检查的信息是否仅仅依靠攻击者提供的信息

预防

1.应用模块应当使用同一的易于分析的模块,所有业务可以调用这个模块
2.执行机制在缺省的情况下,应当拒绝所有访问,对于每个功能模块的访问,应当进行严格的限制,授予特定的角色权限进行访问。
3.某功能使用了检测模块是否存在逻辑漏洞

A8 安全配置错误

错误配置可以发生在方方面面,包括错误端口开启,Web服务器等等,自动扫描可以用于检测未安装更新的补丁,默认账号的使用和不必要的服务等等

检测:

1.是否有软件没有及时更新?操作系统、服务器、管理系统、应用程序等
2.是否使用了安装了其他不必要的功能?3389端口,磁盘共享等等
3.是否依然使用默认账号密码
4.是否设置了防止你的错误配置会让大量信息被泄露
5.你的开发框架是否设置得当

A9 敏感信息文件泄露

敏感数据和这些数据的备份被泄露,传输中的数据甚至是客户浏览器中的数据存在被泄露的可能,往往通过中间人攻击的方式窃取秘钥等,从服务器窃取明文数据对传输中的用户数据进行破解,主要是不加密文件,弱密码和弱算法。

预防

1.存在备份文件无论在哪里存放多久,都应当被加密
2.不要使用明文传输信息
3.对于已经公开的弱密码,弱算法应当及时更新
4.对于浏览器漏洞及时更新
5.对于没必要存在的敏感信息及时删除,禁用自动收集敏感信息,敏感函数的文件和功能

A10 未受保护的API

程序接口,应当确保客户端和服务端的通信信道是使用了安全的信道,强认证模式,做好安全加固,禁止不授权的访问

ID33Dhy
关注
专栏目录
OWASP TOP-2013
一只臭皮匠的博客
03-24 289
A1-注入..注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。 攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时间时访问数据。 A2-失效的身份认证和会话管理..与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌 或攻击其他漏洞去冒充其他用户身份。 A3-跨站脚本(XSS)..当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送
OWASP A10 Server-Side Request Forgery(服务器端请求伪造)
震山的博客
10-09 608
记一下 SSRF 的一篇博文
自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!
最新发布
libaiup的博客
01-17 1680
OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高web产品的安全性。这个"十大"差不多每隔三年更新一次。攻击者可以通过应用程序中许多不同的路径方法去危害您的业务或者企业组织。
OWASP TOP 10概述
wang010366的专栏
09-29 8136
OWASP组织提出的前十大网络漏洞 A1-注入 A2-跨站脚本(XSS) A3-错误的认证和会话管理 A4-不安全的直接对象引用 A5-伪造跨站请求(CSRF) – Cross-Site Request ForgeryA7-限制远程访问失败 A8-未验证的重定向和传递 A9-不安全的加密存储 A10-不足的传输层保护XSS跨站脚本攻击过程最简单演示CSRF攻击介绍与实施 二
OWASP top10(OWASP十大应用安全风险)之A10 日志和监控不足(Insufficient Logging and Monitoring)
qq_39682037的博客
03-19 3029
日志和监控不足(Insufficient Logging and Monitoring) 保护网站的重要性不可低估。虽然100%的安全性不是一个现实的目标,但是有一些方法可以使您的网站受到定期监控,以便您在发生问题时立即采取行动。如果没有有效的日志记录和监视过程,则可能会增加网站危害的损害。 示例 一个小团队运行的一个开源项目论坛软件被利用其软件中的一个漏洞进行了黑客攻击。攻击者设法清除了包含下...
浅谈网站失效的认证和会话管理
小太阳~
01-26 7798
身份认证和会话管理:   在进一步解释这种危险的漏洞之前,让我们了解一下身份认证和会话管理的基本知识。身份认证,最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。   会话管理,HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份
sessionid会重复吗_Web应用安全 三 失效的身份认证和会话管理
weixin_39693295的博客
12-03 367
与身份认证和回话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份(暂时或永久的)。我存在会话劫持漏洞吗? 如何能够保护用户凭证和会话ID等会话管理资产呢?以下情况可能产生漏洞:1.用户身份验证凭证没有使用哈希或加密保护。2.认证凭证可猜测,或者能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱会话ID)重写。...
OWASP TOP10 -2010
java开发指南博客 【转载】
11-09 224
OWASP(开源web应用安全项目)是一个开放的社区,致力于帮助各企业组织开发、购买和维护可信任的应用程序.Top 10的目标是通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。 Top 10的首要目的是培训开发人员、设计人员、架构师、经理和企业组织,让他们认识到最严重的web应用程序安全漏洞所产生的后果。 Top 10提供了防止这些高风险问题的基本方法,并提供了获得这些方...
OWASPTOP10--2021中文版.rar
06-26
5. **A5: 外部可控制的渲染(XXR)** 类似于XXE,XXR攻击利用了富文本编辑器、文档预览等组件,使攻击者能控制内容呈现,可能导致敏感信息泄露。限制内容来源和实施内容过滤是预防XXR的关键。 6. **A6: 安全配置...
aws-waf-owasp
10-16
- **A5 - 安全配置错误** 配置不当可能导致安全漏洞。AWS WAF可以帮助用户制定和实施最佳实践,确保WAF配置的安全性。 - **A6 - 敏感数据暴露** 敏感数据应受到严格保护。AWS WAF可以设置规则,加密或屏蔽特定...
owasp10:Open Web Application Security Project Top10(2017)-演示演示
05-03
10. A10: Unvalidated Redirects and Forwards:未经验证的重定向和转发允许攻击者将用户导向恶意网站,可能导致钓鱼攻击或其他欺诈行为。 "owasp10-master"中包含的"make reset server"命令可能用于初始化一个模拟...
Linux Centos7搭建邮件服务器
ID33Dhy的博客
05-09 2169
Linux Centos7搭建邮件服务器 基于sendmail和Dovecot 一.关闭防火墙和selinux systemctl stop firewalld setenctoce 0 二.下载sendmail软件和其他的工具 禁用系统自带的postfix:alternatives --config mta :2 三.启用sendmail禁用postfix [root@localhost named]# systemctl start sendmail [root@localhost named]
Web服务搭建与配置 (配置基于端口、IP虚拟主机的apache服务)
ID33Dhy的博客
05-09 1238
一.Apache特点
Linux Centos7 搭建简易堡垒机安装jailkit实现chroot
ID33Dhy的博客
05-11 803
Linux Centos7 搭建简易堡垒机安装jailkit实现chroot 一.什么是堡垒机 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 就是为了实现对于跳板机登录的信息审查和人员操作情况,并通过配置黑白名单来限制特定IP登录情况,实现审计4A标准。 4A是指:认证Authentication、授权Authorization、账
owasp top A1 注入 Injection (1)SQL注入.1
ID33Dhy的博客
08-29 395
owasp top(1)A1 注入 Injection 注入分为很多种,最常见的是SQL注入,但是通过注入最终达到的结果都是一样的,就是获取敏感信息,植入木马后门,等等。 首先SQL注入,通俗的理解,SQL注入是基于sqlserver,想象一下这样一个场景,当你登录一个网站的时候会需要你输入你自己的账号密码进行登录,而你在输入账号密码的时候,你的账号密码对应的都是一个参数,这些参数需要被传递给服务器进行查询操作比对,既然存在交互操作就有可能出现问题,比如说一些网站建设完之后没有对用户输入的内容进行过滤,导致
Linux Centos7 安装配置DNS
ID33Dhy的博客
05-09 340
Linux Centos7 安装配置DNS 一.下载bind包 yum install -y bind* httpd 二.修改配置文件 ①vim /etc/named.conf 将可监听端口和查询ip限制全部改为any; 这里需要注意分号,不能少,而且前后必须留下空格,否则会报错。 ②vim /etc/named.rfc1912.zones 添加正向解析文件和反向解析文件 ③配置正反向解析文件 cd /var/named cp named.empty dhy.com.zone vim dhy.com.
Linux centos7 安装配置pure-ftp
ID33Dhy的博客
05-09 302
Linux centos7 安装配置pure-ftp 一.进行扩展包下载,安装pure-ftp yum install -y epel-release yum install -y pure-ftp 二.配置pure-ftpd vim /etc/pure-ftp/pure-ftpd.conf AnonymousCantUpload yes #将no改为yes,不允许匿名上传文件 解开我图中所示的注释,如果配置文件没有这句话 也可以自己手动添加 三.关闭防火墙,selinux setenforce 0
OWASP A4 使用已知漏洞的插件
ID33Dhy的博客
09-16 243
参考链接:https://www.cnblogs.com/wjw-zm/p/11802615.html 一.常见中间件 1、中间件是一类连接软件组件和应用的计算机软件,它包括一组服务。以便于运行在一台或多台机器上的多个软件通过网络进行交互。该技术所提供的互操作性,推动了一致分布式体系架构的演进,该架构通常用于支持并简化那些复杂的分布式应用程序,它包括web服务器、事务监控器和消息队列软件。 2、中间件(middleware)是基础软件的一大类,属于可复用软件的范畴。顾名思义,中间件处于操作系统软件与用户的应
Linux Centos7 Samba配置服务
ID33Dhy的博客
05-09 220
Linux 下安装Samba 实现文件共享 一.下载samba服务 yum install -y samba 二.配置samba配置值文件 vim /etc/samba/smb.conf [share] #共享文件夹 comment =share all #comment是对该共享的描述,可以是任意字符串。 path = /tmp/share #共享文件所在路径 browseable =yes #浏览器可以打开 writable
2017 OWASP十大Web安全威胁详解
5. A5 - 伪造跨站请求(CSRF):攻击者通过欺骗用户发送未经授权的请求,用于执行非法操作,如转账或更改设置。 6. A7 - 限制远程访问失败:系统应限制对失败尝试的响应,防止攻击者利用这些信息进行进一步的攻击。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值