OWASP前十大漏洞
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OWASP前十大漏洞
十大漏洞原因危害攻击方法
1 跨站脚本
(XSS,Cross Site
Scripting)
CGI程序没有对用
户提交的变量中的
HTML代码进行过
滤或转换;对提交的
数据没有经过适当
的验证或转译
黑客可以利用浏览器
中的恶意脚本获得用
户的数据,破坏网站,
插入有害内容,以及展
开钓鱼式攻击和恶意
攻击。
攻击者注入非法的标
签与脚本最终都要在
客户端执行,攻击的过
程实际上都在客户端
的浏览器上发生的。
能在客户端进行跨站
的不仅仅是HTML标签
与JavaScript脚本,
还包含一些其它的客
户端应用,比如Flash
里的ActionScript脚
本也能辅助发起XSS
攻击
2 注入漏洞(Injection
Flaw)
字符过滤不严紧所
造成的
攻击者可利用注入漏
洞诱使Web应用执行
未预见的命令或数据
库查询,从而对数据库
信息进行窃取、篡改、
删除等
攻击者把一些包含指
令的数据发送给解释
器,解释器会把收到的
数据转换成指令执行。
3 恶意脚本执行
(Malicious File
Excution)
Web应用程序引入
来自外部的恶意文
件并执行文件内容
攻击者可利用恶意文
件执行漏洞进行攻击
取得Web服务器控制
权,进行不法利益或获
取经济利益
攻击者在具有引入功
能程序的参数中修改
参数内容,Web服务器
便会引入恶意程序内
容从而受到恶意文件
执行漏洞攻击
4 不安全的直接对象
参照物(Insecure
Direct Object
Reference)
当网站地址或者其
他参数包含了文件、
目录、数据库记录或
者关键字等参照物
对象时就可能发生
这种攻击
可能在网络接口中暴
露出用户的账号或是
重要文件
攻击者可以通过猜想
或者搜索另一个有效
关键字的方式攻击这
些参数
5 跨站指令伪造
(CSRF,Cross-Site
Request Forgery)
它们是根据会话
cookie或者“自动记
忆”功能来授权指令
的
攻击者能让受害用户
修改的任何数据,或者
是执行允许使用的任
何功能
已登入Web应用程序
的合法使用者执行到
恶意的HTTP指令,但
Web应用程序却当成
合法需求处理,使得恶
意指令被正常执行
6 信息泄露和错误处
理不当(Information
Leakage and
Improper Error
Handing)
有些系统没有统一
的异常处理页面,用
户访问出现错误时
会展现给用户调试
错误,甚至SQL脚
本错误
可能将用户的隐私信
息、软件的配置或者其
他内部资料泄露出去
WEb应用程序的执行
错误信息包含敏感资
料,黑客利用这些信息
可以知道一些重要资
料
7 不安全的认证和会
话管理(Broken
Authentication and
Session
Management)
Web应用程序中自
行撰写的身份验证
相关功能有缺陷
可能导致部分甚至全
部账户遭受攻击。一旦
攻击成功,攻击者能执
行合法用户的任何操
作。因此特权账户会造
成更大的破坏
攻击者破坏密码、密
钥、会话令牌或利用实
施漏洞冒充其他用户
身份
8 不安全的加密存储
设备(Insecure
Cryptographic
Storage)
Web应用程序员没
有对敏感资料使用
加密、使用较弱的加
密演算法或将密钥
储存于容易被取得
之处
攻击者能够取得或是
篡改机密的或是私有
的信息;通过这些秘密
的窃取从而进行进一
步的攻击;造成企业形
象破损,用户满意度下
降,甚至会有法律诉讼
等
由于没有对重要文件
加密或是很好加密的
话,黑客就利用抓包工
具获得重要文件,便可
直接或是简单的解密
就可查看文件
9 不安全的通信
(Insecure
Communucation)
传输敏感性资料时
并未使用HTTPS或
其他加密方式
攻击者能够取得或是
篡改机密的或是私有
的信息;通过这些秘密
的窃取从而进行进一
步的攻击;造成企业形
象破损,用户满意度下
降,甚至会有法律诉讼
等
攻击者通过一些黑客
工具截取数据包,从而
获得用户信息
10 未对网站地址的访
问进行限制(Failure
to Restrict URL
Access)
某些网页因没权限
控制,使得攻击者可
透过网址直接存取;
对未授权的网页内容
做修改、删除等操作
攻击者能够很容易的
伪造请求直接访问未
被授权的页面
主要参考:
1. /p-274952440.html
2.
https:///index.php/Taiwan#.E5.8D.81.E5.A4.A7Web.E8.B3.87.E5.AE.89.E6.BC.8
F.E6.B4.9E.E5.88.97.E8.A1.A8
3. /s/blog_5610604c0100p36q.html
SKYJIL YGAO
2012.07.02