OWASP Top 10 2017(RC1)中文版
責(zé)編:mhshi |2017-04-18 17:31:462017年4月10日,OWASP組織對外發(fā)布了“ReleaseCandidate”版本的《OWASP Top 10 2017》文檔,OWASP中國根據(jù)OWASP組織發(fā)布的消息,組織發(fā)布《OWASP Top10 2017 RC1》中文版。
什么是《OWASP Top 10》?
《OWASP Top 10》提供了10類最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險。對于每類風(fēng)險,提供了以下信息:
- 對風(fēng)險的描述。
- 漏洞樣例
- 攻擊案例
- 對漏洞防止的指導(dǎo)
- 來自O(shè)WASP組織和其它來源的參考資源
OWASP Top 10中文翻譯項目組
項目組組長:王頡、包悅忠
翻譯人員:顧凌志、王厚奎、王文君、吳楠、夏玉明、楊天識、袁明坤、張鎮(zhèn)(排名按姓氏拼音排列)
審查人員:Rip、夏天澤
說明:本版本已對2013年中文版《OWASP Top 10》中翻譯不準(zhǔn)確的內(nèi)容進(jìn)行修正。翻譯水平有限,歡迎指正。
意見反饋
OWASP中國區(qū)會員或會員單位有反饋意見,可直接將反饋信息發(fā)送至:OWASP-TopTen@lists.owasp.org,或發(fā)送至OWASP中國分部:project@owasp.org.cn,并由OWASP中國分部代為反饋。
2017 RC1版Top 10風(fēng)險
A1—注入
注入攻擊漏洞,例如:SQL、OS 以及 LDAP注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語句的一部分,被發(fā)送給解釋器的時候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器,以執(zhí)行計劃外的命令或者在未被恰當(dāng)授權(quán)時訪問數(shù)據(jù)。
A2—失效的身份認(rèn)證和會話管理
與身份認(rèn)證和會話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實現(xiàn),這就導(dǎo)致了攻擊者破壞密碼、密匙、會話令牌或攻擊其他的漏洞去冒充其他用戶的身份(臨時性的或永久性的)。
A3—跨站腳本(XSS)
當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù),在沒有進(jìn)行適當(dāng)?shù)尿炞C和轉(zhuǎn)義的情況下,就將它發(fā)送給一個網(wǎng)頁瀏覽器,這就會產(chǎn)生跨站腳本攻擊(簡稱XSS)。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本,從而劫持用戶會話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。
A4—失效的訪問控制
對已通過身份驗證用戶的運(yùn)行限制,沒有得到恰當(dāng)?shù)膹?qiáng)制執(zhí)行。攻擊者可以利用這些缺陷訪問未經(jīng)授權(quán)的功能和/或數(shù)據(jù), 例如:訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問權(quán)限等。
A5—安全配置錯誤
好的安全需要對應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、web服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺定義和執(zhí)行安全配置。由于許多設(shè)置的默認(rèn)值并不是安全的,因此,必須定義、實施和維護(hù)這些設(shè)置。這包含了對所有的軟件保持及時地更新,包括所有應(yīng)用程序的庫文件。
A6—敏感信息泄漏
許多Web應(yīng)用程序沒有正確保護(hù)敏感數(shù)據(jù),如信用卡,稅務(wù)ID和身份驗證憑據(jù)。攻擊者可能會竊取或篡改這些弱保護(hù)的數(shù)據(jù)以進(jìn)行信用卡詐騙、身份竊取,或其他犯罪。敏感數(shù)據(jù)值需額外的保護(hù),比如在存放或在傳輸過程中的加密,以及在與瀏覽器交換時進(jìn)行特殊的預(yù)防措施。
A7—攻擊檢測與防護(hù)不足
大多數(shù)應(yīng)用程序和API都缺乏檢測、防止和響應(yīng)手動和自動攻擊的基本能力。攻擊防護(hù)遠(yuǎn)遠(yuǎn)超出了基本的輸入驗證,并涉及到自動檢測、記錄、響應(yīng),甚至阻止漏洞的利用企圖。應(yīng)用程序所有者還需能夠快速部署修補(bǔ)程序以防止攻擊。
A8—跨站請求偽造(CSRF)
一個跨站請求偽造攻擊迫使用戶已登錄的瀏覽器將偽造的HTTP請求(包括該用戶的會話cookie和其他認(rèn)證信息)發(fā)送到一個存在漏洞的web應(yīng)用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請求,而這些請求會被應(yīng)用程序認(rèn)為是用戶的合法請求。
A9—使用含有已知漏洞的組件
組件,比如:庫文件、框架和其它軟件模塊,幾乎總是以全部的權(quán)限運(yùn)行。如果一個帶有漏洞的組件被利用,這種攻擊可以造成更為嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管。應(yīng)用程序使用帶有已知漏洞的組件會破壞應(yīng)用程序防御系統(tǒng),并使一系列可能的攻擊和影響成為可能。
A10—未受到充分保護(hù)的API
現(xiàn)代應(yīng)用程序通常涉及富客戶端的應(yīng)用程序和API,如:在瀏覽器和移動應(yīng)用程序中的JavaScript,它們連接到某種API(如:SOAP/XML、REST/JSON、RPC、GWT等)。這些API通常是沒有保護(hù)的, 并且包含大量漏洞。
報告全文下載:http://www.owasp.org.cn/owasp-project/OWASPTop102017RC1V1.0.pdf
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!