返回
web十大安全隐患

web十大安全隐患

ID:17906231

大小:285.99 KB

页数:34页

时间:2018-09-09

web十大安全隐患_第1页
web十大安全隐患_第2页
web十大安全隐患_第3页
web十大安全隐患_第4页
web十大安全隐患_第5页
资源描述:

《web十大安全隐患》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WEB十大安全隐患OWASPTOP10-2010开放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。http://www.owasp.orgOWASP发布了最新的Web应用脆弱性的top10,这是继2007年OWASP对TOP10进行修订后进行的又一次更改,该版本暂定为OWASPTOP10- 2010。在新版本的OWASPTOP10中主要由以下变化:1.Top10的命名发生了变化。原先的Top10全

2、称为“Thetop10mostcriticalwebapplicationsecurityvulnerabilities”,即“Web应用的十大关键脆弱性”,现在Top10的全称为“Thetop10mostcriticalwebapplicationsecurityrisks”,即“Web应用的十大关键风险”2.OWASPTop10的风险评估方法 此次Top10的评估是依据OWASP的风险评估方法来对OWASPTOP10排序的。3.替换了2个风险 此次Top10与2007年的Top10相比, 在内容上去掉了“MaliciousFileExecution”(恶意文件执行)和“Info

3、rmationleakageandimpropererrorhandling”(信息泄露及不恰当的错误处理),增加了“Securitymisconfiguration”(错误安全配置)和“Unvalidatedredirectsandforwards”(未验证的重定向和传递)。 OWASPTOP102007 OWASPTOP102010 A2-注入 A1-注入 A1-跨站脚本(XSS) A2-跨站脚本(XSS) A7-错误的认证和会话管理 A3-错误的认证和会话管理 A4-不正确的直接对象引用 A4-不正确的直接对象引用 A5-伪造跨站请求(CSRF) A5-伪造跨站请求(CSRF

4、)  A6-安全性误配置 A10-限制远程访问失败 A7-限制远程访问失败  A8-未验证的重定向和传递 A8-不安全的加密存储 A9-不安全的加密存储 A9-不足的传输层保护 A10-不足的传输层保护 A3-恶意文件执行  A6-不安全的通讯 34/34OWASP风险评估方法OWASP所选取的10大风险是依据OWASP的风险评估方法,我们从标准的风险模型开始,即风险=可能性*后果,下面我们以以下步骤来说明某个风险的严重程度:第一步:识别风险识别风险作为评估的第一步,我们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能造成的后果,当然可能存在多种攻击方法

5、和多种后果,在评估时我们往往会采用最坏选择,这样就能更客观的反应该风险的最终评级;第二步:考虑影响可能性的因素通常,我们不可能很精准的说出某个风险的可能性数值,所以我们一般用高、中、低来表示,而且影响某个风险的可能性的因素有很多,对于每个因素我们用0到9的数值来表示。类别因素分项分值威胁技能要求无需技能1需要一些技术3高级的计算机用户4需要网络和编程技术6安全渗透技术9成功攻击后攻击者的益处很低或无益1可能会有回报4高回报9所需资源或机会需要很大资源或高权限访问0需要特定的访问权限和特定的资源4需要一些访问权限和资源7无需权限或资源9所需的攻击者的角色开发者2系统管理员2内部用户4

6、合作伙伴534/34认证用户6匿名Internet用户9脆弱性发现该弱点的难易度技术上不可行1困难3容易7可用自动化工具发现9利用该弱点的难易度只是理论上的1困难3容易5可用自动化工具实现9该弱点的流行度不为人知1隐藏4明显6公众皆知9入侵被察觉的可能性应用程序主动检测1记录日志并审核3记录日志未审核8无日志9第三步:考虑影响后果的因素在考虑攻击后果的时候,我们会考虑两种后果,一种是应用的“技术后果”,它所使用的数据,提供的功能等等,另一种就是它的“商业后果”,显然后者则更为重要,但往往后者难以估量,所以我们需要尽可能从技术上去考虑,进而来估计后者的数据。类别因素分项分值技术后果保

7、密性损失很少的非敏感的数据泄漏2很少的敏感数据泄漏6大量的非敏感数据泄漏6大量的敏感数据泄漏934/34A1-注入注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入,OSShell,LDAP,Xpath,Hibernate等等,而其中SQL注入尤为常见。这种攻击所造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包括管理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。