除了关注业务本身外,越来越多的企业也开始关注web安全。Web安全领域我们经常看到OWASP Top 10,那么什么是OWASP Top 10呢?它跟Web有什么关系呢?
OWASP(开放式Web应用程序安全项目)是一个开源的、非营利性的全球性安全组织,致力于改进Web应用程序的安全,这个组织最出名是,它总结了10种最严重的Web应用程序安全风险,警告全球所有的网站拥有者,应该警惕这些最常见、最危险的漏洞。
这就是著名的OWASP Top 10。
OWASP Top 10包括:注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击(XXE)、存取控制中断、安全性错误配置、跨站脚本攻击(XSS)、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。
注入
当Web应用程序缺乏对使用的数据进行验证和清理的时候,极易发生注入攻击。著名的注入攻击有SQL注入、NoSQL注入、OS注入等。注入攻击会导致数据丢失和被破坏,甚至主机被黑客完全接管。
失效身份验证和会话管理
失效身份验证和会话管理主要发生在Web应用程序身份验证环节,身份验证机制出现逻辑问题便会出现此类问题。黑客会利用身份验证漏洞,尝试控制系统中的账户,一旦操作成功,他便能合法的进行任何操作。
敏感信息泄露
敏感信息泄露是目前存在最广泛的Web应用程序问题,Web应用程序、API未