Web 应用程序的十大安全漏洞

已于 2023-02-14 11:41:33 修改
阅读量938 收藏 2
点赞数
分类专栏: PHP 架构师之路 文章标签: 安全 网络
于 2023-02-14 11:39:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkn_CS_DN_2013/article/details/129023020
版权

应用程序的安全性非常重要,解决安全问题的方法有很多,但一个有效的入门方法是解决 OWASP(开放 Web 应用程序安全项目)确定的十大安全问题。在本文中,我们将介绍当前应用程序的十大安全漏洞。

OWASP 是一个致力于 Web 应用程序安全的国际组织,社区每四年发布一次OWASP Top 10报告,其中概述了 Web 应用程序最紧迫的安全问题。我们将从 PHP 开发人员的角度审视这些漏洞,但它们与使用任何编程语言构建应用程序都相关。

OWASP 安全漏洞:概述和比较

2021 年 OWASP Top 10 列表列出了 10 个最危险的 Web 应用程序安全漏洞。如果我们将当前列表与 2017 年列表进行比较,我们可以看到列表中仍然存在一些安全漏洞,但位置不同,并且列表中还包含一些新的安全漏洞。

下表比较了 2017 年和 2021 年的列表。(2021 年列表中引入的安全漏洞以粗体标出,其余的只是重新排列)

2017 OWASP Top 10 2021 OWASP Top 10
#1 – Injection #1 – Broken Access Control
#2 – Broken Authentication #2 – Cryptographic Failures
#3 – Sensitive Data Exposure #3 – Injection
#4 – XML External Entities (XXE) #4 – Insecure Design
#5 – Broken Access Control #5 – Security Misconfiguration
#6 – Security Misconfiguration #6 – Vulnerable and Outdated Components
#7 – Cross-site Scripting (XSS) #7 – Identification and Authentication Failures
#8 – Insecure Deserialization #8 – Software and Data Integrity Failures
#9 – Using Components with Known Vulnerabilities #9 – Security Logging and Monitoring Failures
#10 – Insufficient Logging and Monitoring #10 – Server-side Request Forgery (SSRF)

该表表明大多数针对 Web 应用程序的安全漏洞都没有改变。当开发人员试图修复这些缺陷时,他们的方法发生了变化。与普遍的看法相反,避免这些安全漏洞很容易入手;我们只需要知道适用于特定安全问题的一些基本规则。

让我们深入研究这些安全问题。

损坏的访问控制

根据 2021 年版的 OWASP,我们最应该关注的问题是访问控制被破坏。损坏的访问控制就像它听起来的那样:当我们对控制应用程序的访问方式存在缺陷时,就会发生这种情况。损坏的访问控制示例如下图所示。

<form method="post" action="">
<input type="text" name="Username" placeholder="Your Username?">
<input type="text" name="Password" placeholder="Your Password?">
<input type="submit" name="Submit" value="Log In">
</form>

<?php
if(isset($_POST['Submit'])) {
  $Username = $_POST['Username'];
  $Password = $_POST['Password'];
  if(!empty($Username)) {
    if(!empty($Password)) {
    header("loggedin_page.php");
    exit;
    }
  }
}
?>

看到问题了吗?该代码只是检查用户名和密码字段是否不为空。如何在数据库中运行几个查询以确保用户名和密码存在?

最低0.47元/天 解锁文章
AI绘画(可定制)
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web常见十大漏洞.pdf
03-30
Web常见十大漏洞.pdf
常见Web十大漏洞,常见Web漏洞
qq_22792465的博客
07-27 6556
参考:https://blog.csdn.net/weixin_43376075/article/details/105189017https://blog.csdn.net/qq_43168364/article/details/105595532https://www.cnblogs.com/-qing-/p/10819069.html代码执行函数:1- eval()#传入的参数必须为PHP代码,既需要以分号结尾。比如从指定URL地址获取网页文本内容,加载指 定地址的图片,下载等等。
常见web安全漏洞
最新发布
m0_69898410的博客
06-19 267
当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。而在后台开发时并没有对文件上传的文件功能进行安全考虑或者采用了有缺陷的措施,导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件(如:一句话木马)。
十大常见web漏洞及防范
bagell的博客
02-20 1400
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全Web应用程序Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
Web渗透测试---Web TOP 10 漏洞
weixin_56319791的博客
10-27 5595
Web渗透测试---Web Top 10 漏洞
十大常见web漏洞及防范[通俗易懂]
2201_75362610的博客
03-30 2747
在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。(5)一些边缘的输入点,比如.mp3文件的一些文件信息等。文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
预防Web应用程序漏洞
02-03
如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往...
构建更加安全Web应用程序
03-03
Web应用程序安全设计的目的是消除漏洞。仅仅基于用户凭证的已知安全设计元素(如验证和授权)可以很好地满足基本安全要求。不过,需要对收到的客户数据作进一步的审查,以便将安全边界从常用的设计元素扩展到应用...
WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
qq_33163046的博客
04-27 8497
WEB安全的主要类型每年都要较小的变化。熟练掌握最常见的WEB漏洞类型是渗透工作的展开的重要基础。
web十大漏洞
m0_59598029的博客
12-31 1378
web十大漏洞 *1、SQL注入漏洞* SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位置包括: (1)表单提交,主要是POST请求,也包括GET请求; (2)URL参数提交,主要为G
常见的web漏洞及其防范
热门推荐
恒之传说
08-04 1万+
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位...
网站安全攻防:十大常见漏洞及其防范对策
weixin_43263566的博客
05-13 8908
TOP 10 漏洞(介绍、原理、检测方式、修复方案)
Web应用十大安全漏洞
weixin_52281518的博客
01-28 5052
Web应用十大安全漏洞 开放Web应用程序安全项目通过调查,列出了对Web应用的危害较大的10个安全问题,也是业界集中关注最严重的问题。主要包括:未验证参数、访问控制缺陷、账户及会话管理缺陷、跨网站脚本漏洞、缓冲区溢出、命令注入漏洞、错误处理问题、密码学使用不当、远程管理漏洞Web服务器及应用服务器配置不当. 未验证参数:Web请求返回的信息没有经过有效性验证就提交给Web应用程序使用。攻击者可以利用返回信息中的缺陷,包括URL、请求字符串、cookie头部、表单项,隐含参数传递代码攻击运行Web程...
web常见漏洞
阿布哥的读书笔记
04-20 1218
11年江湖11年情 很久没有来这里写写东西、发发牢骚了,
十二个常见的Web安全漏洞总结及防范措施
dzqxwzoe的博客
11-12 1166
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
TWO DAY | WEB安全之OWASP TOP10漏洞
EverUP
05-15 5817
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
Web应用安全漏洞与防护电子书
书中详细讨论了Web应用中的常见安全漏洞及其防范措施,包括注入攻击(A1: Injection)、跨站脚本攻击(A2: Cross-Site Scripting, XSS)、身份验证和会话管理缺陷(A3: Broken Authentication and Session ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI绘画(可定制)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值