A1:Injection
A2:Cross-Site Scripting (XSS)
A3:Broken Authentication and Session Management
A4:Insecure Direct Object References
A5:Cross-Site Request Forgery (CSRF)
A6:Security Misconfiguration
A7:Insecure Cryptographic Storage
A8:Failure to Restrict URL Access
A9:Insufficient Transport Layer Protection
A10:Unvalidated Redirects and Forwards
OWASP的十大Web應用程序的2010年安全風險:
A1:注入(典型的就是SQL注入,這個方面後續分享一些典型案例,OS以及LDAP注入,這些攻擊發生在當不可信的數據作爲命令或者查詢語句的一部分,被髮送給解釋器的時候。攻擊者發生的惡意數據可以欺騙解釋器,從而執行計劃外的命令或者訪問未經授權的數據)
A2:跨站點腳本(XSS)(當應用程序收到含有不可信的數據,在沒有進行適當的驗證和轉義的情況下,就將它發送給一個網頁瀏覽器,這就會產生XSS。XSS允許攻擊者在受害者的瀏覽器上執行腳本,從而綁架用戶會話、危害網站、或者將用戶轉向惡意網站,表現出來的特徵就像中毒一樣。)
A3:失效的身份認證和會話管理(身份認證和會話控制如果得不到正確的實現,就會導致攻擊者破壞密碼、密鑰、會話令牌或者攻擊其他的漏洞去冒充其他用戶的身份。通俗點講就是容易“冒名頂替”)
A4:不安全的直接對象引用(當開發人員暴露一個對內部實現對象的引用時,例如一個文件、目錄或者數據庫密鑰,就會產生一個不安全的直接對象引用。在沒有訪問控制檢測或其他保護時,攻擊者會操控這些引用去訪問未經授權的數據。)
A5:跨站點請求僞造(CSRF)(一個跨站請求僞造攻擊迫使登陸用戶的瀏覽器將僞造的HTTP請求,包括該用戶的會話Cookie和其他認證信息,發送到一個存在漏洞的web應用程序。這就允許了攻擊者迫使用戶流浪器向存在的應用程序發送請求,而這些請求會被應用程序認爲是合法是請求。)
A6:安全配置錯誤(好的安全配置對應用程序、框架、應用程序服務器、web服務器、數據庫服務器以及平臺,定義和執行安全配置)
A7:不安全的加密存儲(許多web應用程序並沒有使用恰當的加密措施或者Hash算法保護敏感數據,比如跟錢相關的信用卡,身份信息等,攻擊者可能利用這種弱保護數據實施身份盜竊,信用卡詐騙等。CSDN、人人網就是血淋淋的教訓,用戶資料竟然連基本的加密都沒有,更何況是採用安全的加密存儲。)
A8:不限制URL訪問(許多web應用程序在顯示受保護的連接和按鈕之前會檢測URL的訪問權限。但是,當這些頁面在被訪問是,應用程序也需要執行類似的訪問控制檢測,否則攻擊者將可以僞造這些URL去訪問隱藏的頁面)
A9:傳輸層保護不足(應用程序時常沒有進行身份認證、加密措施,甚至沒有保護敏感網絡數據的保密性和完整性,而當進行保護時,應用程序有時採用弱算法,使用過期或無效的證書,或不正確的使用這些技術。)
A10:未經驗證的重定向和轉發(web應用程序經常性將用戶重定向和轉發到其他網頁和站點,並利用不可信的數據區判斷目的頁面,如果沒有得到適當的驗證,攻擊者可以重定向受害用戶到釣魚軟件或者惡意網站,或者使用轉發去訪問未授權的頁面)
尋找這十類安全漏洞,比較經典的工具有JSky 能夠掃描注入SQL注入。
全面支持如下Web漏洞的掃描:
● SQL注入(SQL Injection )
● 跨站腳本(XSS )
● 不安全的對象引用(Unsecure object using )
● 本地路徑泄露(Local path disclosure )
● 不安全的目錄權限(Unsecure directory permissions )
● 服務器漏洞如緩衝區溢出和配置錯誤(Server vulnerabilities like buffer overflow and configure error)
● 敏感目錄和文件掃描(Possible sensitive directories and files scan )
● 備份文件掃描(Backup files scan )
● 源代碼泄露(Source code disclosure )
● 命令執行(Command Execute )
● 文件包含(File Include )
● Web木馬後門(Web backdoor )
● 敏感信息(Sensitive information )
● 等等......