The OWASP Top 10
WebApplication Security Risks for 2010 are:
51Testing软件测试网�\ g&`�q�I3m:n51Testing软件测试网�?�z*h�~*`!k-XA1: Injection51Testing软件测试网�x�X2S�`6i�B
A2: Cross-Site Scripting (XSS)
$}�k�_*\�c R�h�u8z0A3: Broken Authentication and Session Management51Testing软件测试网�y�?5|�t"e&i Z�C�y
A4: Insecure Direct Object References51Testing软件测试网"y S+s�t�x�A e
A5: Cross-Site Request Forgery (CSRF)
�b�T�c�_�v�B0A6: Security Misconfiguration
!`%]$O�|:g @�e�~0A7: Insecure Cryptographic Storage
�o�Q%Q7P�u�X�t:Y:E0A8: Failure to Restrict URL Access
8\�B,P'Z�q�j"R7p�Q e6u0A9: Insufficient Transport Layer Protection
,X/H�D�T,_5g0X�j0A10: Unvalidated Redirects and Forwards51Testing软件测试网�l9Y#D�U e,P0r�p
V�T�O�i#P8u�z0OWASP的十大Web应用程序的2010年安全风险:
-z�k(O�V�I"E�w*W*B051Testing软件测试网 ~ iu(],z.P1l�uA1:注入(典型的就是SQL注入,这个方面后续分享一些典型案例,OS以及LDAP注入,这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发生的恶意数据可以欺骗解释器,从而执行计划外的命令或者访问未经授权的数据)51Testing软件测试网�z�r&a�~9{�Y D�u/d�H0Y
51Testing软件测试网�a�?(k%@�JA2:跨站点脚本(XSS)(当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生XSS。XSS允许攻击者在受害者的浏览器上执行脚本,从而绑架用户会话、危害网站、或者将用户转向恶意网站,表现出来的特征就像中毒一样。)51Testing软件测试网�C�U/X&D+V$u�w B�?.T�S
51Testing软件测试网%P�n8K�a1w�`�WA3:失效的身份认证和会话管理(身份认证和会话控制如果得不到正确的实现,就会导致攻击者破坏密码、密钥、会话令牌或者攻击其他的漏洞去冒充其他用户的身份。通俗点讲就是容易“冒名顶替”)51Testing软件测试网)}/U�d)\#m�u0^
51Testing软件测试网+o!x�R4r _�Y�L�XA4:不安全的直接对象引用(当开发人员暴露一个对内部实现对象的引用时,例如一个文件、目录或者数据库密钥,就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控这些引用去访问未经授权的数据。)
�D(b W7n1{8} n y�W9_0a�C9h�p/c�}�}0A5:跨站点请求伪造(CSRF)(一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的HTTP请求,包括该用户的会话Cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户流浪器向存在的应用程序发送请求,而这些请求会被应用程序认为是合法是请求。)51Testing软件测试网 R$n3c _�P
*f�`:q:l"?0A6:安全配置错误(好的安全配置对应用程序、框架、应用程序服务器、web服务器、数据库服务器以及平台,定义和执行安全配置)
�y�D�_ m b7B;X3q&O-_051Testing软件测试网�W$D�E�[�y,@�LA7:不安全的加密存储(许多web应用程序并没有使用恰当的加密措施或者Hash算法保护敏感数据,比如跟钱相关的信用卡,身份信息等,攻击者可能利用这种弱保护数据实施身份盗窃,信用卡诈骗等。CSDN、人人网就是血淋淋的教训,用户资料竟然连基本的加密都没有,更何况是采用安全的加密存储。)51Testing软件测试网�B:t-^ P:w3n%x @�i
*g8` O8o�q�s*w$B�~5Z0A8:不限制URL访问(许多web应用程序在显示受保护的连接和按钮之前会检测URL的访问权限。但是,当这些页面在被访问是,应用程序也需要执行类似的访问控制检测,否则攻击者将可以伪造这些URL去访问隐藏的页面)51Testing软件测试网)S�V3x�u,A#[ `-q
51Testing软件测试网 U2k;?�y'xA9:传输层保护不足(应用程序时常没有进行身份认证、加密措施,甚至没有保护敏感网络数据的保密性和完整性,而当进行保护时,应用程序有时采用弱算法,使用过期或无效的证书,或不正确的使用这些技术。)51Testing软件测试网 r�a�{�{ o3Z/O3U L
51Testing软件测试网$R j ^ _(_'K�b�SA10:未经验证的重定向和转发(web应用程序经常性将用户重定向和转发到其他网页和站点,并利用不可信的数据区判断目的页面,如果没有得到适当的验证,攻击者可以重定向受害用户到钓鱼软件或者恶意网站,或者使用转发去访问未授权的页面)
�h�U8}&A�m�`�\�X�V0W051Testing软件测试网�C o&v�[�Q�y*^�o�E寻找这十类安全漏洞,比较经典的工具有JSky 能够扫描注入SQL注入。
6J�k$S6D"|:J2r�A-P)q0全面支持如下Web漏洞的扫描:
�W/T9L�o1t:e0- SQL注入(SQL Injection )
- 跨站脚本(XSS )
- 不安全的对象引用(Unsecure object using )
- 本地路径泄露(Local path disclosure )
- 不安全的目录权限(Unsecure directory permissions )
- 服务器漏洞如缓冲区溢出和配置错误(Server vulnerabilities like buffer overflow and configure error)
- 敏感目录和文件扫描(Possible sensitive directories and files scan )
- 备份文件扫描(Backup files scan )
- 源代码泄露(Source code disclosure )
- 命令执行(Command Execute )
- 文件包含(File Include )
- Web木马后门(Web backdoor )
- 敏感信息(Sensitive information )
- 等等......
转载地址:
http://www.51testing.com/?uid-94273-action-viewspace-itemid-815026
