本文共 1196 字,大约阅读时间需要 3 分钟。
学习笔记
本博客基于最新版OWASP Top 10(2017年发布),虽然已过四年,但尚未见更新版本。以下将记录OWASP Top 10的要点及个人渗透测试学习体会,并附上原始中文文档链接供参考。
OWASP(Open Source Web Application Security Project)是一个开放社区,旨在提供Web应用安全的最佳实践。OWASP Top 10则是指Web应用程序安全中的10项最严重风险。以下列出各单项内容:
当不受信任的数据被用于命令或查询解析器时,可能导致SQL注入、NoSQL注入、OS注入或 LDAP注入等安全缺陷。攻击者可利用恶意数据,强制解析器执行非预期命令或访问数据,造成安全威胁。
因身份认证和会话管理功能的错误使用,攻击者可能破译密码、会话令牌,或利用其他缺陷冒充他人身份。这样,攻击者可临时或永久性地盗用他人身份。
许多Web应用未能妥善保护敏感数据(如财务、医疗、PII等)。攻击者可通过窃取或篡改未加密数据实施诈骗或盗窃行为。因此,所有敏感数据需加密,包括传输、存储及浏览器交互的数据。
早期或配置错误的XML处理器可能解析外部实体引用,而攻击者可利用这些漏洞窃取内部文件、监听端口、执行远程代码或发起DDoS攻击。
未能对已验证身份的用户实施适当访问控制。攻击者可利用此缺陷访问未授权资源,包括窃取他人账户、查看敏感文件、修改数据或调整权限等。
安全配置错误是最常见漏洞之一,通常源于不安全的默认设置、临时配置不完整、错误的云存储配置或详细的错误信息包含敏感内容。因此,必须对操作系统、框架、库和应用程序进行严格安全配置,及时修复和升级。
当应用未能验证或转义不受信任的数据时,攻击者可利用其它技术(如HTML或JavaScript)在受害者浏览器中执行恶意脚本。XSS可用于劫持用户会话、破坏网站或重定向用户至恶意网站。
不安全的反序列化可能导致远程代码执行。虽然未必直接导致远程代码执行,攻击者亦可利用此漏洞实施注入攻击、重播攻击或特权升级。
若应用中包含已知漏洞的组件(如库或框架),攻击者可利用此攻击服务器或数据,导致严重后果。使用含有安全问题的组件的应用程序和API,往往会破坏应用防御,吸引攻击意图。
不够完善的日志记录、缺失监控及响应机制,使得攻击者可继续渗透系统、�ategory进行更多攻击,甚至销毁数据。大多数漏洞被机构内部检测的时间超过200天,通常是通过外部人员发现的。
不忘初心,砥砺前行!
转载地址:http://ocuxz.baihongyu.com/