引子
最近找渗透测试方面的工作,发现很多公司都要求熟悉OWASP TOP 10风险,写个帖子自己记录一下学习过程
什么是OWASP TOP 10
OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
1、SQL 注入
简介:SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 举例说明: id=GET[‘id’] sql=SELECT * FROM users WHERE id=id LIMIT 0,1
详细:sql注入
2、失效的身份认证和会话管理
简介:在开发web应用程序时,开发人员往往只关注Web应用程序所需的功能,所以常常会建立自定义的认证和会话方案。但是要正确的实现这些方案却是很难的。结果就在退出、密码管理、超时、密码找回、帐户更新等方面存在漏洞。
详细:失效的身份认证和会话管理
3、跨站脚本攻击 XSS
简介:跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!
详细:跨站脚本攻击 XSS
4、直接引用不安全的对象
简介:不安全的直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。
应用程序在SQL查询语句中直接使用了未经测试的数据,而攻击者可以利用这一点来访问数据库中的其他账号数据。
详细:直接引用不安全的对象
5、安全配置错误
简介:安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务,平台,web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存储等。这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。
详细:安全配置错误
6、敏感信息泄露
简介:由于管理员或者技术人员等各种原因导致敏感信息泄露。许多web应用程序和api都无法正确保护敏感数据,攻击者可以通过窃取或修改未改加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。
详细;敏感信息泄露
7、缺少功能级的访问控制
简介:大多数Web应用程序的功能在UI页面显示之前,会验证功能级别的访问权限。但是,应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求从而在未经适当授权时访问功能。
比如:对于测试登录页面功能级访问控制是否缺失,需要测试
a:合法用户是否能够正常登录,并且访问到登录之后的页面
b:匿名或者攻击者等没有权限的用户是否会被拒绝登录,并且不能访问到需要登录之后才能访问到的页面
详细:缺少功能级的访问控制
8、跨站请求伪造 CSRF
直接上链接:csrf
9、使用含有已知漏洞的组件
连接:连接
10、未验证的重定向和转发
19年补充
5302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
