OWASP前十大漏洞

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

OWASP前十大漏洞

十大漏洞原因危害攻击方法

1 跨站脚本

(XSS,Cross Site

Scripting)

CGI程序没有对用

户提交的变量中的

HTML代码进行过

滤或转换；对提交的

数据没有经过适当

的验证或转译

黑客可以利用浏览器

中的恶意脚本获得用

户的数据，破坏网站，

插入有害内容，以及展

开钓鱼式攻击和恶意

攻击。

攻击者注入非法的标

签与脚本最终都要在

客户端执行，攻击的过

程实际上都在客户端

的浏览器上发生的。

能在客户端进行跨站

的不仅仅是HTML标签

与JavaScript脚本，

还包含一些其它的客

户端应用，比如Flash

里的ActionScript脚

本也能辅助发起XSS

攻击

2 注入漏洞(Injection

Flaw)

字符过滤不严紧所

造成的

攻击者可利用注入漏

洞诱使Web应用执行

未预见的命令或数据

库查询，从而对数据库

信息进行窃取、篡改、

删除等

攻击者把一些包含指

令的数据发送给解释

器，解释器会把收到的

数据转换成指令执行。

3 恶意脚本执行

(Malicious File

Excution)

Web应用程序引入

来自外部的恶意文

件并执行文件内容

攻击者可利用恶意文

件执行漏洞进行攻击

取得Web服务器控制

权，进行不法利益或获

取经济利益

攻击者在具有引入功

能程序的参数中修改

参数内容，Web服务器

便会引入恶意程序内

容从而受到恶意文件

执行漏洞攻击

4 不安全的直接对象

参照物(Insecure

Direct Object

Reference)

当网站地址或者其

他参数包含了文件、

目录、数据库记录或

者关键字等参照物

对象时就可能发生

这种攻击

可能在网络接口中暴

露出用户的账号或是

重要文件

攻击者可以通过猜想

或者搜索另一个有效

关键字的方式攻击这

些参数

5 跨站指令伪造

(CSRF,Cross-Site

Request Forgery)

它们是根据会话

cookie或者“自动记

忆”功能来授权指令

的

攻击者能让受害用户

修改的任何数据，或者

是执行允许使用的任

何功能

已登入Web应用程序

的合法使用者执行到

恶意的HTTP指令，但

Web应用程序却当成

合法需求处理，使得恶

意指令被正常执行

6 信息泄露和错误处

理不当(Information

Leakage and

Improper Error

Handing)

有些系统没有统一

的异常处理页面，用

户访问出现错误时

会展现给用户调试

错误，甚至SQL脚

本错误

可能将用户的隐私信

息、软件的配置或者其

他内部资料泄露出去

WEb应用程序的执行

错误信息包含敏感资

料，黑客利用这些信息

可以知道一些重要资

料

7 不安全的认证和会

话管理(Broken

Authentication and

Session

Management)

Web应用程序中自

行撰写的身份验证