网络安全练气篇——OWASP TOP 10

1、什么是OWASP？

OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。

其最具权威的就是"10项最严重的Web 应用程序安全风险列表" ，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

最重要的版本

应用程序中最严重的十大风险

2、TOP 10 分别是哪些？

1. SQL注入

攻击方式

通过恶意字符将恶意代码写入数据库，使其运行，产生敏感数据泄露，数据库读取，进一步在数据库执行命令

攻击类型

未审计的数据框架
直接使用网址URL直接传递变量
未过滤的特殊字符串
SQL错误回显
SQL注入
获取敏感信息进一步在服务器执行命令，实现接管服务器的目的

防护措施

关闭SQL错误回显
对输入的字符做转译处理
对前端输入做白名单验证（长度，类型）
使用一个成熟的WAF
白盒审计（代码审计）
SQL服务运行于专门的账号，并给予最小权限

2. 失效的身份认证

攻击方式

攻击者利用网站中身份认证缺陷，以此来获取高权限，攻击服务器

攻击类型

弱口令
盗用身份和账号
修改网络数据包以此获取用户账号权限
网站设计不良，可以绕过登录页面
设计者忘记设置注销登录，使之有机可乘

防护措施

网站的登录页面就使用加密连接
网站应该具体良好的权限控制与管理
网站应该具备超时注销机制

3. 敏感数据泄露

攻击方式

通过扫描发现应用程序有敏感信息

攻击类型

应用人员或者开发人员无意间上传敏感数据到Github，导致网站文件泄露
敏感数据文件设置错误，导致数据库备份文件泄露

防护措施

对于github泄露，定期对仓库进行扫描
对网站应用目录定期扫描

4. XML外部实体（XXE）

攻击方式

当应用程序解析XML文件时包含了对外部实体的的引用，通过构造恶意的XML代码，读取指定的服务器数据或资源。

攻击类型

读取服务器的数据或者资源 /etc/password
读取应用程序源码

防护措施

关闭DTD
禁止外部实体引入

5. 失效的访问控制

攻击方式

没有校验身份，直接导致攻击者绕过权限直接访问

攻击类型

绕过路径，如未读取的参数进行检查，导致路径绕过并进行读取敏感文件操作
权限提升，如未对权限进行检查，导致攻击者变更权限
垂直越权，导致攻击者可以从普通用户权限提升到管理员的用户权限
水平越权，导致攻击者可以从用户a的权限提升到用户b的权限

防护措施

对参数的白名单做过滤
对权限的控制管理重新设计与限制最小权限
限制下载文件的类型

6. 安全配置错误

攻击方式

攻击者利用错误的配置，访问敏感信息或者提升权限

目录遍历

攻击类型

开发或者维护人员设置了错误的配置，如 python 开发中对于 Django 框架在生产环境启用了 Debug 模式
目录遍历

防护措施

检查文件扩展名
重命名上传文件
控制上传文件的权限，如关闭权限
移除不常用的页面，如安装目录文件
移除临时文件，备份文件
不使用常用的、简单的命名规则，防止被猜测
定义白名单

7. 跨站脚本（XSS）

攻击方式

攻击者使用恶意字符嵌入应用程序代码中并运行，盗取应用程序数据

攻击类型

存储型XSS
DOM型XSS
反射型XSS

防护措施

验证输入/接收的字符，过滤或者替换非法字符
使用白名单机制

8. 不安全的反序列化

攻击方式

攻击者利用应用程序反序列化功能，构造恶意的反序列化对象攻击应用程序

攻击类型

远程代码执行RCE
注入攻击
越权
远程命令执行

防护措施

对数据对象签名，并作完整检查
数据对象中的数据做严格的类型检查，限制一部分恶意攻击
隔离反序列化操作环境，对序列化和反序列化进行白名单验证
在执行反序列化之前，对用户输入数据执行验证和过滤

9. 使用含有已知漏洞的组件

攻击方式

使用应用程序中的框架、库、组件、工具等已知漏洞攻击，获取高权限或者敏感数据

攻击类型

敏感信息泄露
提升权限
远程代码执行
SQL注入
反序列化
配置错误

防护措施

及时更新、修复组件漏洞
移除不再使用的依赖组件

10. 不足的日志记录和监控

攻击方式

对于日志记录的监控不足，导致攻击者攻击系统、应用、盗取数据等操作无法被及时发现和追查

攻击类型

日志不规范
监控告警不及时
日志分析于人员技能缺失

防护措施

规范化的日志设置，提供清晰易读的操作手册，以便于后期阅读和维护
优化监控策略和报警流程，建立完善的规则库，以便于触发相关告警，及时通知相关人员处理
加强人才培训和引进专业人才，安全意识培训，聘请专业经验丰富的加入团队，提高水平