数字化时代,安全事件频发,重温OWASP top10。居安思危,长治久安。
15万个摄像头,8比特币*56000美元,不小的事。
OWASP Top 10是什么?原文链接
OWASP Top 10是针对开发人员和Web应用程序安全性的标准意识文档。它代表了对Web应用程序最严重的安全风险的广泛共识。
全球开发人员的安全编码意识,是朝着更安全的编码迈出的第一步。
公司应采用此文档并开始确保其Web应用程序将这些风险降至最低的过程。使用OWASP Top 10是将软件开发+安全代码的文化的最有效的第一步。
十大Web应用程序安全风险
- 数据注入。当将不受信任的数据作为命令或查询的一部分发送到解释器时,会出现诸如SQL,NoSQL,OS和LDAP注入之类的注入漏洞。攻击者的敌对数据可能会诱使解释器执行未经预期的命令或未经适当授权而访问数据。
- 身份验证失败。与身份验证和会话管理相关的应用程序功能通常会错误地实现,从而使攻击者可以破坏密码,密钥或会话令牌,或者利用其他实现缺陷来临时或永久地假定其他用户的身份。
- 敏感数据暴露。许多Web应用程序和API无法适当地保护敏感数据,例如金融,医疗保健和PII。攻击者可能会窃取或修改受保护程度不高的数据,以进行信用卡欺诈,身份盗用或其他犯罪。敏感数据可能在没有额外保护的情况下受到损害,例如静态加密或传输中加密,并且与浏览器进行交换时需要采取特殊的预防措施。
- XML外部实体(XXE)。许多较旧的或配置不当的XML处理器都会评估XML文档中的外部实体引用。外部实体可用于使用文件URI处理程序,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击来公开内部文件。
- 损坏的访问控制。通常,没有正确地执行对允许经过身份验证的用户执行操作的限制。攻击者可以利用这些缺陷来访问未经授权的功能和/或数据,例如访问其他用户的帐户,查看敏感文件,修改其他用户的数据,更改访问权限等。
- 安全配置错误。安全配置错误是最常见的问题。这通常是由于不安全的默认配置,不完整或临时的配置,开放的云存储,错误配置的HTTP标头以及包含敏感信息的冗长错误消息的结果。不仅必须安全地配置所有操作系统,框架,库和应用程序,而且还必须及时对其进行补丁/升级。
- 跨站脚本(XSS)。每当应用程序在未经适当验证或转义的情况下在新网页中包含不受信任的数据,或者使用可以创建HTML或JavaScript的浏览器API用用户提供的数据更新现有网页时,都会发生XSS漏洞。XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话,破坏网站或将用户重定向到恶意网站。
- 不安全的反序列化。不安全的反序列化通常会导致远程执行代码。即使反序列化缺陷不会导致远程执行代码,也可以将它们用于执行攻击,包括重播攻击,注入攻击和特权升级攻击。
- 使用已知漏洞的组件。诸如库,框架和其他软件模块之类的组件以与应用程序相同的特权运行。如果利用了易受攻击的组件,则此类攻击可能会导致严重的数据丢失或服务器接管。使用具有已知漏洞的组件的应用程序和API可能破坏应用程序防御,并造成各种攻击和影响。
- 日志和监控不足。日志记录和监控不足,再加上事件响应的缺失或无效集成,使攻击者可以进一步攻击系统,保持持久性,转向更多系统以及篡改,提取或破坏数据。大多数违规研究表明,检测到违规事件的时间超过200天,更致命的是,通常是由外部各方发现到系统漏洞,而不是由内部流程或监视来检测到。