返回
OWASP十大web应用安全漏洞

OWASP十大web应用安全漏洞

ID:43033242

大小:44.05 KB

页数:5页

时间:2019-09-26

OWASP十大web应用安全漏洞_第1页
OWASP十大web应用安全漏洞_第2页
OWASP十大web应用安全漏洞_第3页
OWASP十大web应用安全漏洞_第4页
OWASP十大web应用安全漏洞_第5页
资源描述:

《OWASP十大web应用安全漏洞》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、OWASP10要素项目:(OWASP,2006):一、UnvalidatedInput非法输入在数据被输入程序前忽略对数据合法性的检验,是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查,非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。二、BrokenAccessControl失效的访问控制大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符吊输入可以让攻击行为绕过企业的控制。三、BrokenAuthenticationandSessionManagemen

2、t失效的账户和线程管理一一良好的访问控制并不代表万事大吉了。企业还应该保护用户的密码,会话令牌,账户列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。四、CrossSiteScripting(XSS)Flaws跨站点脚本攻击XSS是一种常见的攻击。当攻击脚木被嵌入企业的Web页面或其它可以访问的Web资源中,当没有保护能力的台式机访问这个页面或资源吋,脚本就会被启动。这种问题可以影响成百上千的员工以及企业客户的终端电脑。五、BufferOverflows缓存溢出缓存溢岀问题一般出现在较

3、早的编程语言如C语言编写的程序中。这种编程错误其实也是由于没有很好的确定输入内容在内存中的位置所草成的。在木文的后续部分中,我们会讲到,通过一些高级的编程环境,如Java以及.Net,可以很好的控制此类问题。六、InjectionFlaws注入式攻击如果没有成功的阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容,应该保持简单,并且不应该还有可被执行的代码内容。七、ImproperErrorHandling异常错误处理当错误发生时,向用户提交错误提示是很正常的事情

4、,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。八、InsecureStorage不安全的存储对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是菲常重要的工作。对这些信息进行加密是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在漏洞。九、ApplicationDenialofService程序拒绝服务与拒绝服务攻击(DoS)类似,应用程序的DoS攻击利用大量非法用户抢占应用程序资源,导致合法用户无法使用

5、该Web应用程序。十、InsecureConfigurationManagement彳、安全的配置管理有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。针对以上列表,我有两点要说明一下。首先,这个列表并不能涵盖企业的Web应用程序屮的全部脆弱点,它只是OWASP的成员组织最常遇到的问题,因此也是你应该着重检查的内容。OWASPTop102007简介(2009-05-2215:24:46)10.FailuretoRestrictURLAccessURL(访问限制失败)存在这种弱点的We

6、b应用程序/站点允许攻击者通过“猜测”地址找到URL9.InsecureCommunications(不安全的通信)通信不安全是由于无法合理保障内外信息接口的安全而造成的。8.InsecureCryptographicStorage(不安全的加密存储)加密存储不安全是指敏感信息没有采取合理适当的加密措施就保存在易失性或非易失性存储器中。7.BrokenAuthenticationandSessionManagement(损坏的验证和会话管理)6.InformationLeakageandImproper

7、ErrorHandling(错误处理不当问题)如果应用程序或底层基础设施中出现一个错误时向用户提供过多信息,就会造成错误处理不当问题.5.CrossSiteRequestForgery(CSRF)(跨站请求伪造)CSRF与跨站脚本(XSS)非常相似,二者之间只存在一个十分重要的差异:XSS利用客户端的弱点,而CSRF则利用网站服务器上的弱点。4.InsecureDirectObjectReference(不安全的直接对象引用)不安全的直接对象引用也叫做目录遍历,只需简单调整用户访问一个网站时或直接提交给

8、用户的脚本中的URL就可以利用这种漏洞。3.InsecureRemoteFileInclude(不安全的远程文件包含[意文件执行])寻找无法禁止或控制上传文件执行的Web应用程序。PHP4.0.4——5・x在默认情况下易于受到这种攻击。・NET和J2EE,如果允许文件上传并执行Web目录中的功能,也容易受到这种攻击。2.InjectionFlaws(注入缺陷)允许攻击者通过操纵输入来改变应用程序。共有三种主要的注入攻击:1.系统调用2.sh

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。