OWASP十大web应用安全漏洞

更新时间:2023-06-22 19:07:58 阅读：评论：0

OWASP 10要素项目：（OWASP，2006）：education
一、Unvalidated Input 非法输入——在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

二、Broken Access Control 失效的访问控制——大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

三、Broken Authentication and Session Management 失效的账户和线程管理——良好的访问控制并不代表万事大吉了。企业还应该保护用户的密码，会话令牌，账户列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。

四、Cross Site Scripting (XSS) Flaws 跨站点脚本攻击——XSS是一种常见的攻击。当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，当没有保护能力的台式机访问这个页面或资源时，脚本就会被启动。这种问题可以影响成百上千的员工以及企业客户的终端电脑。

五、Buffer Overflows 缓存溢出——缓存溢出问题一般出现在较早的编程语言如C语言编写的程序中。这种编程错误其实也是由于没有很好的确定输入内容在内存中的位置所草成的。在本文的后续部分中，我们会讲到，通过一些高级的编程环境，如Java以及.Net，可以很好的控制此类问题。

六、Injection Flaws 注入式攻击——如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容，应该保持简单，并且不应该还有可被执行的代码内容。

教师节快乐的英文怎么写

七、Improper Error Handling 异常错误处理——当错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

八、Incure Storage 不安全的存储——对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。

九、Application Denial of Service 程序拒绝服务——与拒绝服务攻击（DoS）类似，应用程序的DoS攻击利用大量非法用户抢占应用程序资源，导致合法用户无法使用该Web应用程序。

十、Incure Configuration Management 不安全的配置管理——有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。针对以上列表，我有两点要说明一下。首先，这个列表并不能涵盖企业的Web应用程序中的全部脆弱点，它只是OWASP的成员组织最常遇到的问题，因此也是你应该着重检查的内容。

OWASP Top 10 2007 简介女生英文qq名(2009-05-22 15:24:46)

10.Failure to Restrict URL AccessURL（访问限制失败）

存在这种弱点的Web应用程序/站点允许攻击者通过“猜测”地址找到URL

9.Incure Communications（不安全的通信）

通信不安全是由于无法合理保障内外信息接口的安全而造成的。

8.Incure Cryptographic Storage（不安全的加密存储）

加密存储不安全是指敏感信息没有采取合理适当的加密措施就保存在易失性或非易失性存储器中。

female是什么意思7.Broken Authentication and Session Management（损坏的验证和会话管理）

6. Information Leakage and Improper Error Handling（错误处理不当问题）

如果应用程序或底层基础设施中出现一个错误时向用户提供过多信息，就会造成错误处理不当问题.

5.Cross Site Request Forgery (CSRF)（跨站请求伪造）

CSRF与跨站脚本（XSS）非常相似，二者之间只存在一个十分重要的差异：XSS利用客户端的弱点，而CSRF则利用网站服务器上的弱点。

4. Incure Direct Object Reference(不安全的直接对象引用 )

不安全的直接对象引用也叫做目录遍历，只需简单调整用户访问一个网站时或直接提交给用户的脚本中的URL就可以利用这种漏洞。

3.Incure Remote File Include(不安全的远程文件包含 [意文件执行])

寻找无法禁止或控制上传文件执行的Web应用程序。PHP 4.0.4——5.x在默认情况下易于受到这种攻击。和J2EE，如果允许文件上传并执行Web目录中的功能，也容易受到这种攻击。

2.Injection Flaws(注入缺陷)

允许攻击者通过操纵输入来改变应用程序。

共有三种主要的注入攻击：1.系统调用 2.shell命令 3.SQL注入

1.Cross Site Scripting (XSS)(at at跨站脚本)

是由于服务器端引发该漏洞，但是通过客户端来执行。

应用方式:1反射式asons in the sun歌词 2存储式 3基于文档对象模型（DOM）

A1 - Cross Site Scripting (XSS)	XSS flaws occur whenever an application takes ur supplied data and nds it to a web browr without first validating or encoding that content. XSS allows attackers to execute script in the victim's browr which can hijack ur ssions, deface web sites, possibly introduce worms, etc.
A2 - Injection Flaws	Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when ur-supplied data is nt to an interpreter as part of a command or query. The attacker's hostile data tricks the interpreter into executing unintended commands or changing data.
A3 - Malicious File Execution	Code vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total rver compromi. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from urs.
A4 - Incure Direct Object Reference	A direct object reference occurs when a developer expos a reference to an internal implementation object, such as a file, directory, databa record, or key, as a URL or form parameter. Attackers can manipulate tho references to access other objects without authorization.
A5 - Cross Site Request Forgery (CSRF) verifydevice	A CSRF attack forces a logged-on victim's browr to nd a pre-authenticated request to a vulnerable web application, which then forces the victim's browr to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
A6 - Information Leakage and Improper Error Handling	airwayApplications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers u this weakness to steal nsitive data, or conduct more rious attacks.
A7 - Broken Authentication and Session Management	Account credentials and ssion tokens are often not properly protected. Attackers compromi passwords, keys, or authentication tokens to assume other urs' identities.
A8 - Incure Cryptographic Storage	国际贸易专业Web applications rarely u cryptographic functions properly to protect data and credentials. Attackers u weakly protected data to conduct identity theft and other crimes, such as credit card fraud.
A9 - Incure Communications	Applications frequently fail to encrypt network traffic when it is necessary to protect nsitive communications.
A10 - Failure to Restrict URL Access简历封面设计	Frequently, an application only protects nsitive functionality by preventing the display of links or URLs to unauthorized urs. Attackers can u this weakness to access and perform unauthorized operations by accessing tho URLs directly.

Table 1: Top 10 Web application vulnerabilities for 2007

本文发布于:2023-06-22 19:07:58，感谢您对本站的认可！

本文链接：https://www.wtabcd.cn/fanwen/fan/78/1015482.html

上一篇：电子商务单词汇总

下一篇：网络信息安全常用术语

标签：企业应用程序用户输入

留言与评论（共有 0 条评论）