OWASP TOP10 漏洞 网络安全

2024年12月2712:41:32发布者:信息化 10 views 举报
总字数:约1547字
第1页

第2页

OWASP TOP10 漏洞

OWASP TOP10 漏 洞 是 由 开 放 Web 应 用 程 序 安 全 项 目

Open Web Application Security Project )发布的十大最严重、

最普遍的 Web 应用程序安全漏洞,以下是 2021 年版的相关介绍:

失效的访问控制

访问控制失效会导致未经授权的信息泄漏、修改等。常见弱点

包括绕过存取控制检查,如通过修改 URL 、内部应用程式状态等;

允许主键被更改,可查看或编辑他人账户;特权提升; CORS 错误

配置等。预防措施有在服务器端执行存取控制机制,默认拒绝存取,

强化记录所有权等。

加密机制失效

要涉及静态数据及数据传输的防护。如是否以明文形式传输数

据,是否使用老旧或脆弱的加密算法、默认加密密钥,加密密钥是

否被写入源代码等。预防需对数据分类,执行对应控制,确保静态

敏感数据加密,使用安全协议等。

注入式攻击

不可信的数据作为命令或查询的一部分发送到解释器时可能发

生,如 SQL NoSQL OS 命令注入等。可通过预编译语句、参数

化查询等防御,对输入数据进行严格验证和过滤。

失效的身份认证

身份验证机制设计或实现有误,攻击者可能冒充合法用户获取

未授权访问权限。如通过错误使用身份认证和会话管理功能,破译

密码等。防御方法包括使用内置会话管理功能,要求用户使用强密

码,避免以纯文本传输用户名和密码等。

安全配置错误

包括未正确配置的设置,如默认账户、未更新的组件、不必要

的服务和端口开放等。需定期审计和更新系统配置,关闭不必要的

服务和端口,及时更新组件。

用户输入验证失败

总页数:4
提示:下载前请核对题目。客服微信:diandahome
标题含“答案”文字,下载的文档就有答案
特别声明:以上内容(如有图片或文件亦包括在内)为“电大之家”用户上传并发布,仅代表该用户观点,本平台仅提供信息发布。