TWO DAY | WEB安全之OWASP TOP10漏洞
一、OWASP简介
OWASP:开放式Web应用程序安全项目(Open Web Application Security
Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web
应用程序安全风险列表”
,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识,不过OWASP每四年发布一次,现在最新的OWASP是2021年公布的。
二、TOP10漏洞详解
A1、注入漏洞
注入漏洞在 2013、2017、2021 的三个版本中都是入列,可见此漏洞的引入是多么的容易,同时也证明此漏洞的危害有多么严重。
(1)注入的概念
注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以是在web应用程序中事先定义好的查询语句的结尾上添加额外的执行语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
也就是说,我服务器明明想要用户你提交的是一个数据,可是你要么提交的是一个本本分分的数据,要么提交的是一个数据+命令
(2)注入分类
- sql注入
- –os-shell
- LDAP(轻量目录访问协议)
- xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言)
- HQL注入
(3)实例
(4)SQL 注入工具
作为最强大的 SQL 注入工具,这里要介绍下基于 python开发的 SQLmap,SQLmap 支持对 PostgreSql,MySQL,Access,MsSql Server 等数据库的自动化注入。是在检查SQL注入漏洞方面最得力的工具。
(5)SQL 注入防护
关闭 SQL 错误回显
前端输入字符白名单验证(长度、类型等)
对输入的特殊字符使用转义处理
SQL 操作使用 PreParedStatement
SQL 服务运行于专门的账号,并且使用最小权限
限制 SQL 服务的远程访问,只开放给特定开发人员
代码审计,最有效的检测应用程序的注入风险的方法之一
使用成熟的 waf
A2、失效的访问控制
描述
访问控制强制执行策略,使用户不能在其预期权限之外采取行动。故障通常会导致未经授权的信息泄露、修改或破坏所有数据或执行超出用户限制的业务功能。常见的访问控制漏洞包括:
- 通过修改 URL、内部应用程序状态或 HTML 页面,或仅使用自定义 API 攻击工具来绕过访问控制检查。
- 允许将主键更改为其他用户的记录,允许查看或编辑其他人的帐户。
- 特权提升。在未登录的情况下充当用户或以用户身份登录时充当管理员。
- 元数据操作,例如重放或篡改 JSON Web 令牌 (JWT) 访问控制令牌,或用于提升权限或滥用 JWT 失效的 cookie
或隐藏字段。<
最低0.47元/天 解锁文章
5426
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
