OWASP是一个开源的全球性安全组织,致力于安全标准、安全测试工具、安全指导手册等应用安全技术的发展。在之前我们曾经使用过了owspa proxy 进行过端口扫描。本次学习的是OWASP十大WEB弱电防护守则。美国联邦贸易委员会(FTC)强烈建议所有的企业都需要遵守以保证信息安全。
因为网路技术的发展是十分迅速的,所以迄今为止,OWASP已经发布了三版TOP10WEB应用程序安全风险。这次我们选择的最新的一版2017TOP10。OWASP已经成为了实际的应用安全标准。
《OWASP TOP10》的首要目的就是要指导开发人员、设计人员、架构师、管理人员和企业组织,让他们认识到最严重的WEB应用程序安全弱点所产生的后果,并且提供了防止这些高风险的基本方法。
A1注入
将不受信任的数据作为命令或者查询的一部分发送到解析器,产生注入SQL注入、OS注入和LDAP注入的缺陷。当用户提供的数据没有经过应用程序的验证过滤或是净化、动态查询语句的调用或是恶意数据的直接使用都会导致程序脆弱。
防止:将数据与命令语句、查询语句分开来。最佳选择是直接选用安全的API。
A2失效的身份认证
攻击者获取数百万的有效用户名和密码的组合或者攻击没有过期的会话密钥。当程序出现允许填充凭证、允许暴力破解、出现总所周知的密码、暴露URL的ID、会话ID没有正确的注销。
防止&