十大Web资安漏洞列表
A1. 跨网站的入侵字串(Cross Site Scripting,简称XSS,亦称為跨站脚本攻击):Web应用程式直接将来自使用者的执行请求送回瀏览器执行,使得攻击者可擷取使用者的Cookie或Session资料而能假冒直接登入為合法使用者。
A2. 注入缺失(Injection Flaw):Web应用程式执行来自外部包括资料库在内的恶意指令,SQL Injection与Command Injection等攻击包括在内。
A3. 恶意档案执行(Malicious File Execution):Web应用程式引入来自外部的恶意档案并执行档案内容。
A4. 不安全的物件参考(Insecure Direct Object Reference):攻击者利用Web应用程式本身的档案读取功能任意存取档案或重要资料,案例包括http://example/read.php?file=../../../../../../../c:/boot.ini。
A5. 跨网站的偽造要求 (Cross-Site Request Forgery,简称CSRF): 已登入Web应用程式的合法使用者执行到恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。
A6. 资讯揭露与不适当错误处置 (Information Leakage and Improper Error Handling):Web应用程式的执行错误讯息包含敏感资料,案例包括:系统档案路径的揭露或资料库栏位名称。
A7. 遭破坏的鑑别与连线管理(Broken Authentication and Session Management):Web应用程式中自行撰写的身分验证相关功能有缺陷。
A8. 不安全的密码储存器 (Insecure Cryptographic Storage):Web应用程式没有对敏感性资料使用加密、使用较弱的加密演算法或将金钥储存於容易被取得之处。
A9. 不安全的通讯(Insecure Communication):传送敏感性资料时并未使用HTTPS或其他加密方式。
A10. 疏於限制URL存取(Failure to Restrict URL Access):某些网页因為没有权限控制,使得攻击者可透过网址直接存取,案例包括允许直接修改Wiki或Blog网页内容。
这次OWASP公布新版Top 10反映出目前的攻击现况,以今年為例,Cross-Site Scripting(XSS)调整為10大攻击之首,真实的反映出目前网路钓鱼与诈欺的攻击滥用XSS的情形,事实上,美国国防部的BSI计画(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究机构的CVE资安脆弱性列表(http://cve.mitre.org/) 亦显示1)Cross Site Scripting与2)SQL Injection已连续两年列為全球头号严重资安弱点.
421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
