十大Web应用安全风险
A1—注入 (Injection):是指攻击者通过输入恶意数据,从而达到在Web服务器环境下运行任意指令的目的。比较有名的是SQL、XML和LDAP注入。在应用程序中,通过对用户输入的特定字符进行转义,可以预防恶意数据的注入。
A2—跨站脚本 (Cross-Site Scripting,XSS):是指应用程序在没有对用户输入进行正确验证的情况下,将这些输入直接输出到了Web浏览器中,而这些输入一旦被浏览器执行,将有可能导致会话劫持、cookie窃取或者Web站点数据被污染。在应用程序中,通过对HTML、JavaScript或者CSS输出中不受信任的元字符进行转义,可以预防跨站脚本。
A3—无效的验证和会话管理 (Broken Authentication and Session Management):使用不安全的验证和会话管理程序,可能会导致用户账户被劫持,或者导致会话token可预测。开发一个健壮的验证和会话管理程序可以预防此类攻击。我们强烈建议使用加密、散列和基于SSL或者TLS的安全数据连接。
A4—不安全的直接对象引用: 如果应用程序提供其内部对象的直接引用,并且没有进行正确验证,那么可能会导致攻击者操纵这些引用并访问未经授权的数据。这个内部对象可能是用户账户的参数值、文件名或者目录。在访问控制检查(access control check)完成之前,限制所有用户可访问的内部对象,可以确保对相关对象的每一次访问都是经过验证的。
A5—跨站请求伪造 (Cross-Site Request Forgery ,CSRF):是指在存在漏洞的Web应用中,强迫经过验证的用户去运行伪造的HTTP请求。这些恶意请求都是在合法的用户会话中被执行的,因此无法检测到。通过在每一个用户会话中都生成一个不可预测的token,然后每次发送HTTP请求时都绑定这个token,可以减轻CSRF攻击的危害。
A6—错误的安全配置 (Security Misconfiguration):有时候,使用默认的安全配置可能会导致应用程序容易遭受多种攻击。在已经部署的应用、Web服务器、数据库服务器、操作系统、代码库以及所有和应用程序相关的组件中,都应该使用现有的最佳安全配置,这一点至关重要。通过不断地进行软件更新、打补丁、从严制定应用环境中的安全规则,可以实现安全的应用程序配置。
A7—不安全的密码存储 (Insecure Cryptographic Storage):那些没有对敏感数据(例如医保信息、信用卡交易、个人信息、认证细节等)使用密码保护机制的应用程序,都可以归到这类中。通过使用健壮的标准加密算法或散列算法,可以保障数据的安全性。
A8—失败的URL访问权限限制 (Failure to Restrict URL Access):如果Web应用程序没有对URL的访问进行权限检查,那么攻击者可能可以访问未经授权的网页。为了解决这个问题,需要运用合适的身份证明和授权控制机制来限制对私有URL的访问,同时需要为那些可以访问高敏感性数据的特殊用户和角色开发一套合适的权限控制策略。
A9—薄弱的传输层保护 (Insufficient Transport Layer Protection):使用低强度的加密算法、无效的安全证书以及不恰当的身份证明控制机制,会破坏数据的机密性和完整性。这些应用数据将有可能遭到流量窃听和篡改攻击。通过在传输所有敏感网页时使用SSL协议,并使用权威认证机构颁布的合法数字证书,可以解决这类安全问题。
A10—未验证的重定向和转发 (Unvalidated Redirects and Forwards):很多Web应用程序使用动态参数将用户重定向或者转到某个特定的URL上。攻击者可以通过相同的方法伪造一个恶意的URL,将用户重定向到钓鱼网站或者恶意站点上。这种攻击方式还可以用于将请求转发到本地未经授权的网页上。要想避免非法重定向和转发,只需要简单地验证请求中的参数和发出请求的用户的访问权限。
十大Web应用安全风险相关推荐
- OWASP TOP 10-2021年十大Web应用安全风险榜单
OWASP(Open Web Application Security Project)是一个开源的.非盈利的全球性安全组织. OWASP不定期发布关于web应用的十大威胁安全报告(OWASP Top ...
- 2021年十大 web hacking 技术汇总
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PortSwigger 发布2021年的前十大 Web Hacking 技术.该媒体自2015年开始向信息安全社区征求候选名单,本次共收到40份 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
- Node.js之十大Web框架
Node.js之十大Web框架 之前接触过Node.js是因为好奇大前端越来越能干了,连我后台的饭碗都要抢了,太嚣张了,于是我想打压打压它,然后就这样接触它了. 再到后来是因为Settings-Syn ...
- 十大web安全扫描工具
本文来源:绿盟整理 <十大web安全扫描工具> 十大web安全扫描工具 扫描程序可以在帮助造我们造就安全的Web 站点上助一臂之力,也就是说在黑客"黑"你之前, 先测 ...
- 【收藏】十大Web服务器漏洞扫描工具
现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? 扫描程序可以在帮助造我们造就安全的W ...
- 十大Web服务器漏洞扫描工具
[收藏]十大Web服务器漏洞扫描工具 现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? ...
- 2011年使用率增长最快的十大Web技术
W3techs 网站评出了 2011 年十大使用增速最快的 Web 技术,本文对其进行编译供各位参考.注意,该评选结果是在针对前 100 万流行网站(根据 Alexa 值统计)进行调查统计出的,点击这 ...
- 第四十期:2019年度十大Web开发趋势
本文和您一起讨论那些本年度改变软件开发行业.特别是Web开发方面的十大趋势. 如今,随着各种新趋势的层出不穷,Web和移动领域的创新不仅改变了人们.乃至整个社会的日常行为习惯.以及业务处理方式,而且也 ...
最新文章
- Bitcoin Unlimited发布BCH新版客户端1.5.0.0,包括CTOR和CDSV
- C# 常用接口学习 IEnumerableT
- Spring Boot (4)---配置文件详解
- Eratosthenes,筛法求素数
- 牛客网 - 机器人走方格 (动态规划)
- elementui tree获取父节点_elementUI 树状图 点击子节点获取父节点
- 1032. Sharing (25)
- SQL Server活动监视器
- 数学建模国奖论文2019-C-C308分析
- vb.net 实现编辑某列并回车后不换行,查询数据进行相关处理
- G312高速公路S标段路线设计--金陵科技学院道路毕业设计
- 半次元热门图片,各种好看的cosplay小姐姐,统统爬取收藏
- 高级工程师职称计算机要求,高级工程师职称评定条件及流程
- STM8S003FP6 TIM4配置
- 树莓派3B和攀藤PMS5003ST
- 【人工智能 AI 2.0】阿里VP贾扬清被曝将离职创业:建大模型基础设施 已火速锁定首轮融资
- 游戏编程大师技巧—windows程序的基本构造
- 量子计算机-争取让没有物理、数学背景的小白也能看懂!
- arcengine 读取字体库
- Java智慧物业管理系统源码{免费分享源码}