介绍
在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个版本,研究下我们 IT 行业从业人员最容易引入的漏洞,后续文章会更新具体的漏洞原因、场景、防护手段,提升我们的应用抗风险能力。
应用程序安全风险
攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方法都代表了一种风险,这些风险都值得关注。
什么是 OWASP TOP 10
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。
其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
A6 安全配置错误
攻击方式
攻击者利用错误配置攻击,获取敏感数据或者提升权限
漏洞原因
开发或者维护人员设置了错误的配置,如 python 开发中对于 Django 框架在生产环境启用了 Debug 模式
漏洞影响
可让攻击者获取到敏感数据
可让攻击者提升权限,如未修改应用程序配置的默认密码,未删除应用程序安装程序目录文件等
目录遍历
漏洞防护
检查文件扩展名
重命名上传文件
控制上传文件的权限,如关闭执行权限
移除不使用的页面,如安装目录文件
移除临时文件、备份文件
不使用简单的命名规则,防止猜测
定义白名单
A7 跨站脚本攻击
攻击方式
攻击者使用恶意字符嵌入应用程序代码中并运行,盗取应用程序数据
常见攻击 payload
漏洞原因
应用程序未对应用输入做过滤与检查,导致用户数据被当作代码执行。
漏洞影响
欺骗使用者点击嵌入了恶意网站的正常网站,获取使用得的敏感数据
盗取使用者 cookie,冒用使用者身份
漏洞防护
验证输入/接收的字符,过滤或者替换非法字符
使用白名单机制
A8 不安全的反序列化漏洞
攻击方式
攻击者利用应用程序反序列化功能,反序列化恶意对象攻击应用程序。
漏洞原因
应用程序在反序列化数据对象时,执行了攻击者传递的恶意数据对象
漏洞影响
最严重情况下,可导致远程代码执行 RCE
注入攻击
越权
漏洞防护
对数据对象签名,并作完整检查
数据对象中的数据做严格的类型检查,限制一部分恶意攻击
隔离反序列化操作环境
A9 使用含有已知漏洞的组件
攻击方式
利用应用程序技术栈中的框架、库、工具等的已知漏洞进行攻击,获取高权限或者敏感数据
漏洞原因
应用程序技术栈中使用的框架、库、工具爆出了漏洞,应用程序未能及时更新与修复
漏洞影响
敏感数据泄露
提升权限
远程代码执行
漏洞防护
及时更新、修复组件漏洞
移除不再使用的依赖组件
A10 日志记录和监控不足导致的风险
漏洞原因
对于日志记录的监控不足,造成攻击者攻击系统、应用、盗取数据等操作无法被发现和追查。
漏洞影响
无法判断安全事件的发生
无法判断和修复漏洞
导致再次被入侵
漏洞防护
启用日志监控、告警机制
启用异地监控,C/S架构的监制机制
尽可能的完整记录所有日志
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,
那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
扫一扫
1016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
