OWASP TOP10 漏洞
OWASP TOP10 漏 洞 是 由 开 放 Web 应 用 程 序 安 全 项 目
( Open Web Application Security Project )发布的十大最严重、
最普遍的 Web 应用程序安全漏洞,以下是 2021 年版的相关介绍:
失效的访问控制
访问控制失效会导致未经授权的信息泄漏、修改等。常见弱点
包括绕过存取控制检查,如通过修改 URL 、内部应用程式状态等;
允许主键被更改,可查看或编辑他人账户;特权提升; CORS 错误
配置等。预防措施有在服务器端执行存取控制机制,默认拒绝存取,
强化记录所有权等。
加密机制失效
要涉及静态数据及数据传输的防护。如是否以明文形式传输数
据,是否使用老旧或脆弱的加密算法、默认加密密钥,加密密钥是
否被写入源代码等。预防需对数据分类,执行对应控制,确保静态
敏感数据加密,使用安全协议等。
注入式攻击
不可信的数据作为命令或查询的一部分发送到解释器时可能发
生,如 SQL 、 NoSQL 、 OS 命令注入等。可通过预编译语句、参数
化查询等防御,对输入数据进行严格验证和过滤。
失效的身份认证
身份验证机制设计或实现有误,攻击者可能冒充合法用户获取
未授权访问权限。如通过错误使用身份认证和会话管理功能,破译
密码等。防御方法包括使用内置会话管理功能,要求用户使用强密
码,避免以纯文本传输用户名和密码等。
安全配置错误
包括未正确配置的设置,如默认账户、未更新的组件、不必要
的服务和端口开放等。需定期审计和更新系统配置,关闭不必要的
服务和端口,及时更新组件。
用户输入验证失败