翻译OWASP TOP TEN

最新推荐文章于 2024-03-30 16:51:19 发布
最新推荐文章于 2024-03-30 16:51:19 发布
阅读量3k 收藏
点赞数
文章标签: 服务器 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanlan_yangyang/article/details/121917410
版权

打开owasp top ten,选择其中两个进行翻译

 A07:2021–识别和身份验证失败:

概述

以前称为中断的身份验证,这一类下滑从第二个立场,现在包括了共同的弱点与标识相关的枚举(CWE)失败。值得注意的CWE包括CWE-297:验证不当主机不匹配的证书,CWE-287:不正确的身份验证,和CWE-384:会话固定.

说明

确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击。如果应用程序:

  • 允许自动攻击,如凭证填充,其中攻击者拥有有效用户名和密码的列表。

  • 允许暴力或其他自动攻击。

  • 允许默认密码、弱密码或已知密码,例如“Password1”或“管理/管理”。

  • 密码恢复无效或忘记密码过程,例如“基于知识的答案”,这是不可能的安全。

  • 使用纯文本、加密或弱哈希密码数据存储(请参阅A02:2021-加密失败).

  • 缺少或无效的多因素身份验证。

  • 在URL中公开会话标识符。

  • 成功登录后重用会话标识符。

  • IDs Session不能正确失效。用户会话或身份验证令牌(主要是单点登录(SSO)令牌)不是在注销或一段时间不活动时正确地失效。

如何预防

  • 在可能的情况下,实施多因素身份验证以防止自动凭证填充、暴力和被盗凭证重用攻击。

  • 不要使用任何默认凭据发布或部署,尤其是对于管理员用户。

  • 实施弱密码检查,例如测试新的或更改的密码前10000个最差密码列表中的密码。

  • 将密码长度、复杂性和轮换策略与国家标准与技术研究所(NIST)800-63b第5.1节中的指南。记住的秘密或其他现代的,基于证据的密码政策。

  • 确保注册、凭据恢复和API路径通过使用所有结果的信息。

  • 限制或越来越多地延迟失败的登录尝试,但要小心不要创建拒绝服务场景。记录所有失败并在凭据填充、暴力或检测到其他攻击。

  • 使用服务器端安全的内置会话管理器来生成新的随机会话ID与高熵登录后。会话标识符不应在URL中,被安全存储,并在之后失效注销、空闲和绝对超时。

攻击场景示例

场景1:凭证填充,使用已知的列表密码,是一种常见的攻击。假设应用程序没有实现自动威胁或凭证填充保护。在这种情况下应用程序可以用作密码oracle来确定凭据有效。

场景2:大多数身份验证攻击都是由于密码的使用是唯一的因素。一旦考虑到最佳实践,密码轮换和复杂性要求鼓励用户使用并重用弱密码。建议组织停止这些活动按照NIST 800-63标准实施,并使用多因素认证。

场景3:应用程序会话超时设置不正确。A用户使用公共计算机访问应用程序。而不是选择“注销”,用户只需关闭浏览器选项卡并进行漫游走开。一小时后,攻击者使用同一浏览器,而用户仍在验证中。

A08:2021–软件和数据完整性故障:

概述

2021年的一个新类别侧重于对未经验证的软件更新、关键数据和CI/CD管道正直。来自通用漏洞和暴露/通用漏洞评分系统(CVE/CVSS)数据。值得注意的共同弱点列举(CWE)包括CWE-829:包含来自不受信任的控制范围的功能,CWE-494:未进行完整性检查的代码下载,和CWE-502:不可信数据的反序列化.

说明

软件和数据完整性故障与代码和基础设施有关这并不能防止违反诚信的行为。应用程序依赖于一个不受信任的存储库或插件交付网络(CDN)。不安全的CI/CD管道可能会导致存在未经授权的访问、恶意代码或系统损坏的可能性。最后,许多应用程序现在都包含自动更新功能,其中未经充分的完整性验证和应用于以前受信任的应用程序。攻击者可以可能会上传他们自己的更新来分发和运行在所有安装。另一个例子是对象或数据被编码或序列化到一个攻击者可以看到并修改易受不安全反序列化的攻击。

如何预防

  • 使用数字签名或类似的机制来验证软件或数据是否来自预期的来源并且没有被更改。

  • 确保库和依赖项(如npm或Maven)是正在使用受信任的存储库。如果你有更高的风险,考虑托管一个经过审查的内部已知良好的存储库。

  • 确保软件供应链安全工具,如OWASP依赖性检查或OWASP CycloneDX用于验证组件不包含已知的漏洞

  • 确保有代码和配置更改的审阅过程,以将恶意代码或配置引入软件管道的可能性降至最低。

  • 确保CI/CD管道具有正确的隔离、配置和访问权限控件以确保流经的代码的完整性构建和部署流程。

  • 确保未签名或未加密的序列化数据未发送到不受信任的客户端没有某种形式的完整性检查或数字用于检测序列化数据的篡改或重放的签名

攻击场景示例

场景1未签名的更新:许多家庭路由器,机顶设备、设备固件和其他设备不会通过签名验证更新固件。未签名固件越来越成为攻击者的目标只会变得更糟。在那里,这是一个主要的问题除了在将来的版本中修复之外,没有任何机制可以修正等待以前的版本过时。

场景2太阳风恶意更新:民族国家已知的攻击更新机制,最近一次值得注意的攻击是太阳风猎户座攻击。开发软件的公司保护构建和更新完整性过程。尽管如此,他们还是能够被颠覆了,几个月来,公司分发了一份针对18000多个组织进行恶意更新,其中大约100人左右受到影响。这是最深远的历史上最重大的违反这一性质的行为。

场景3不安全的反序列化:React应用程序调用一套弹簧靴微服务。作为函数式程序员,他们试图确保他们的代码是不可变的。他们想出的解决方案with正在序列化用户状态并用每个请求。攻击者会注意到“rO0”Java对象签名(在base64中)和使用Java Serial Killer工具在应用服务器。

lanlan_yangyang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 2766
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
OWASP官方最新版本VMWARE打开
11-05
- **漏洞列表**:如著名的OWASP Top Ten项目,列出了当前最危险的应用程序安全风险。 - **工具**:如OWASP ZAP等开源工具,帮助进行安全测试。 - **文档和指南**:提供详细的教程和最佳实践,帮助开发人员编写安全...
OWASP TOP 10 2019
lxy123_com的博客
03-10 760
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
02-Owasp Top 10
qq_56414082的博客
02-14 278
从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的。
【渗透测试】OWASP TOP10
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
DjanGoat:OWASP RailsGoat项目的Python和Django实现
05-25
DjanGoat DjanGoat是一个易受攻击的Django应用程序,大部分基于项目。 该应用程序声称是MetaCorp,Inc的内部员工门户,但包含漏洞,并且打算用作开发人员和安全专业人员的教育工具。 欢迎任何维护者提出请求。...
OWASP_Broken_Web_Apps_VM_1.2
02-16
**OWASP Top Ten**是一份由OWASP基金会发布的、列举了当前最常见和最危险的Web应用程序安全漏洞列表。OWASP Broken Web Apps VM 1.2中包含的主要漏洞类型包括: 1. **A1: Injection**(注入) - SQL注入 - 命令...
web安全OWASP技术
10-31
#### 一、Web安全风险及OWASP Top Ten概述 - **Web安全**:指的是保障互联网应用的安全性,包括网站、Web服务和相关的数据传输过程等,防止各种形式的安全威胁。 - **OWASP Top Ten**:Open Web Application ...
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 2196
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
网络安全入门必知的OWASP top 10漏洞详解
瓦罗兰特顶级C位的博客
08-04 5338
首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
接口安全性测试技术(1):OWASP Top Ten
08-25 474
OWASP Top Ten OWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险(2017版) 注入:注入缺陷,如SQL、NoSQL、OS和LDAP注入,当将不受信任的数据作为命令或查询的一部分发送到解释器时注入缺陷随即产生。攻击者的恶意数据可以欺骗解释器执行非预期的命令或在没有适当授权的情况下访问数据。 失效的身份认证:与身份验证和会话管理相关的应用程序功能通常会错误地实现,从而使攻击者能够破.
Web应用安全的权威指南OWASPTop 10
最新发布
易之阴阳,量子纠缠,道之一体,缘起性空
03-30 453
OWASP (Open Web Application Security Project) Top 10 是由OWASP组织发布的关于Web应用安全的权威指南,列举出当前最严重的Web应用安全风险。为了防范这些风险,开发者和安全团队应当在开发、测试、部署和运维阶段采取相应措施,例如使用安全编码实践、实施严格的访问控制策略、定期更新组件和补丁、进行安全审计和渗透测试等。
OWASP TOP 10 漏洞指南(2021)
一期一会的博客
02-11 8662
什么是OWASP TOP 10? OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。 近几年OWASP TOP的变化 A1 失效的访问控制 概述 失效的访问控制,也叫越权,攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
OWASP Top 10】2021版
weixin_49422491的博客
10-07 1963
本质上来说,OWASP Top 10主要是一个意识文件。然而,这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准,请记住它是底线,是起点!OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞和漏洞利用趋势,以更好地迎接和应对挑战。目前,OWASP Top 10仍处于初版阶段,还将随着安全行业不断审查其内容而发展完善。
做网安必看的OWASP TOP 10(2021)最新榜单
weixin_55821558的博客
03-30 6864
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。 2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。 值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。 什么是OWASP Top 10 OWASP,全称“开放式We...
OWASP_top_10漏洞的总结笔记
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
OWASP Top Ten 2013:企业应用程序安全的首要威胁
"OWASP Top Ten__2013" OWASP(Open Web Application Security Project,开源Web应用程序安全项目)是一个非营利组织,专注于提高公众对应用程序安全的认识和实践。其核心项目之一就是OWASP Top Ten,这是一个列出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值