随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。
一、OWASP的安全威胁
OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
编号 | 来源 | 描述 | 是否产 生日志 | 备注 |
01 | OWASP | Injection | 是 | 已定义特征 |
02 | OWASP | Broken Authentication and session Management | 是 | 统计分析 |
03 | OWASP | Cross-Site Scripting (XSS) | 是 | 已定义特征 |
04 | OWASP | Insecure Direct Object References | 是 | 已定义部分攻击特征+正确配置 |
05 | OWASP | Security Misconfiguration | 否 | 日志中不记录具体请求的内容信息 |
06 | OWASP | Sensitive Data Exposure | 否 | 日志中不记录具体请求的内容信息 |
07 | OWASP | Missing Function Level Access Control | 是 | 已定义部分攻击特征+正确配置 |
08 | OWASP | Cross-Site Request Forgery (CSRF) | 否 | 日志中不记录具体请求的内容信息 |
09 | OWASP | Using Components with Known Vulnerabilities | 是 | 已定义特征 |
10 | OWASP | Unvalidated Redirects and Forwards | 否 | 日志中不记录具体请求的内容信息 |
二、分析规则
2.1 Injection 注入
来源 | WASC | ID | 40 | 检测方案 | 特征匹配 | |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入 | |||||
已定义匹配规则 |
2.2 失效的身份认证和会话管理
2.2.1 Credential/Session ID Prediction
来源 | WASC | ID |
| 检测方案 | 统计分析 | |
涉及字段 | IIS | Client IP Address(c-ip)、需要cookie信息、URI | ||||
Apache | host、需要cookie信息、request | |||||
分析方法 | 统计同一源IP短时间内访问web的无效session(cookie)次数,如果超过一定的基线阈值则可以视为攻击。 如果同一session ID在一定时间内,由不同client IP address在重用,则可以视为攻击。 URI中如出现大量sessionID字串的顺序出现 |
2.2.2 会话超时设置不当
来源 | WASC | ID |
| 检测方案 |
| |
涉及字段 | IIS | Client IP Address(c-ip)、需要cookie信息、URI | ||||
| Apache | host、需要cookie信息、request | ||||
分析方法 | 根据会话需要,设置会话的过期时间,并且提供logout功能。 |
2.3 Cross-Site Scripting (xss)跨站脚本
来源 | WASC | ID |
| 检测方案 | 特征匹配 | |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | 已定义匹配规则 |
2.4 不安全的直接对象引用
2.4.1 Path Traversal(pt) 路径遍历
来源 | 其他 | ID |
| 检测方案 | 特征匹配 | |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | Detects basic directory traversal 检测到路径遍历 | |||||
已定义规则 |
2.4.2 水平越权
来源 | 其他 | ID |
| 检测方案 |
| |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | 遍历用户id批量获取用户信息 | |||||
正确配置:判断用户的session id,是否具有访问或操作权限; 将id进行加密。 |
2.5 安全配置错误
来源 | WASC | ID |
| 检测方案 |
| |
涉及字段 | IIS | Client IP Address(c-ip)、URI、HTTP Status(sc-status) | ||||
Apache | host、request、statuscode | |||||
分析方法 | 默认配置漏洞容易被利用 修改为安全的属性配置。最少使用模块配置,最少权限配置。 |
2.6 敏感数据泄漏
2.6.1 HTTPS传输
来源 | 其他 | ID | 58 | 检测方案 |
| |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | 页面传输使用https保护传输 |
2.6.2 信息未加密
来源 | 其他 | ID | 59 | 检测方案 |
| |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | 对敏感信息进行加密。 对用户来说,不用应用的密码设置为不同的,防止撞库。 |
2.7 缺失级功能访问控制
2.7.1 Sensitive Path Guess敏感路径猜测
来源 | 其他 | ID |
| 检测方案 | 特征匹配 | |
目标字段 | IIS | Ip referrer url status | ||||
Apache | Ip referrer url status | |||||
分析方法 | 是否访问了该服务器敏感目录如admin等管理后台. 已定义规则。 |
2.7.2 垂直权限缺失访问控制
来源 | 其他 | ID | 59 | 检测方案 |
| |
目标字段 | IIS | URI Query(cs-uri-query) | ||||
Apache | request | |||||
分析方法 | 属于业务设计缺陷的安全问题, 正确配置:应当对访问控制加权限。 |
2.9 The Third Party Components Access第三方组件访问
来源 | 其他 | ID |
| 检测方案 | 特征匹配 | |
目标字段 | IIS | URI status | ||||
Apache | Request status | |||||
分析方法 | 大多第三方组件曾出现过严重安全漏洞,且均存在缺失路径,如果对某组件出现过漏洞的路径进行访问,则有可能为攻击行为,包含的组件有在线编辑器ewebeditor和fckeditor,其特征分别为eWebEditor、eWebEditor.mdb、editor/admin_login.asp和filemanager、editor/filemanager/browser等 |