owasp⼗⼤安全漏洞_OWASP⼗⼤漏洞
owasp⼗⼤安全漏洞
OWASP
免费试⽤AppScan Standard
IBM Security AppScan Standard可帮助您检测和纠正OWASP前10名列表中发现的许多类型的安全问题。 您可以下载的并⾃⼰进⾏测试。
开放式Web应⽤程序安全项⽬(OWASP)是⼀个致⼒于增强Web应⽤程序安全性的国际组织。 作为其使命的⼀部分,OWASP赞助了众多与安全相关的项⽬,其中最受欢迎的⼗⼤项⽬之⼀。 该项⽬发布了⼀份清单,列出了它认为当前全球⼗⼤Web应⽤程序安全风险的清单。 该列表描述了每个漏洞,提供了⽰例,并提供了有关如何避免此漏洞的建议。 2013年6⽉正式发布的前10名名单的最新版本更新了2010年名单。 2013年排名前10位的列表基于七家应⽤程序安全公司的数据,涵盖了数百个组织中的500,000多个漏洞。 OWASP根据其流⾏程度及其相对可利⽤性,可检测性和影响⼒对前⼗名进⾏了优先排序。
为了进⼀步理解其中的某些漏洞,IBM Security Systems Ethical Hacking团队准备了以下视频。
#1注射
Warren Moynihan定义了注⼊,并列举了许多⽰例。 然后,他提供了⼀个详细的⽰例,说明⿊客可能如何使⽤注⼊技术来获取对受其他保护的数据的访问权限。 最后,他说明了如何使⽤IBM Security AppScan查和消除此漏洞。
#2⾝份验证和会话管理中断
⾝份验证和会话管理中断是最常利⽤的Web漏洞之⼀。 Brennan Brazeau解释了⾮安全凭据实践和不适当的会话管理技术如何使攻击者能够访问Web应⽤程序。 他还说明了如何使⽤AppScan识别这些潜在问题。
#3跨站点脚本
在此视频中,安全系统的Moynihan描述了⿊客如何使⽤跨站点爬⽹(XSS)将恶意代码发送到⽹站。 他演⽰了⽤于利⽤此常见漏洞的技术,并展⽰了IBM Security AppScan如何在⽰例⽹站上搜索和识别XSS漏洞。搞笑的自我介绍
#4不安全的直接对象引⽤
⽹站通常要求⽤户提供其应⽤程序参数的值。 如果未正确审查这些值,则⿊客可以使⽤它们将恶意命令传递给站点。 在这⾥,乔纳森·菲茨·杰拉德(Jonathan Fitz-Gerald)演⽰了⼀种可能的攻击,以及
如何使⽤AppScan识别这种类型的漏洞。
#5安全配置错误
错误配置的Web服务器为⿊客提供了滥⽤⽹站的机会。 在此视频中,Paul Ionesco展⽰了攻击者如何不加⼩⼼地启⽤测试或调试功能。 建议将“最低特权”原则作为减轻风险的⼀种⽅法,并且显⽰AppScan在查⽰例中是有效的。
#6敏感数据公开
John Zuccato审查了敏感数据泄露漏洞。 传输中未加密的数据可能容易受到攻击者侦听连接的攻击。 例如,存储在服务器上的未加密数据可能会受到SQL注⼊攻击的威胁。 与其他漏洞⼀样,AppScan可以帮助发现潜在问题。
#7缺少功能级别的访问控制
在这⾥,Zuccato检查缺少的功能级别访问控制,这种情况发⽣在⽆意中允许较低级别访问的⽤户访问受限于较⾼级别访问的⽹站部分时。选择“隐藏”功能⽽不是在功能级别上保护其应⽤程序的管理员可以创建这些漏洞。 您可以使⽤AppScan的“特权升级”测试来到它们。
#8跨站点伪造
跨站点请求伪造(CSRF)当前在OWASP的前10名中排名第8,是⼀个经常利⽤的漏洞。 跨站点请求伪造是⼀个Web应⽤程序漏洞,攻击者可能会在⽤户登录应⽤程序时强迫他们在不知不觉中执⾏操作。 由于这些类型的应⽤程序中可⽤的⽤户信息和操作,攻击者通常使⽤CSRF攻击来针对云存储,社交媒体,银⾏和在线购物站点。 在此视频中,IBM Security Systems Ethical Hacking团队的成员介绍了该漏洞,探讨了风险,告诉您如何保护Web应⽤程序免受攻击,并演⽰了AppScan Standard如何发现该漏洞。
云台山自助游大自然手抄报#9使⽤已知漏洞的组件:运⾏中的Heartbleed和Shellshock
当前,使⽤已知漏洞的组件在OWASP的前10名中排名第9。 Heartbleed和Shellshock是这种威胁的最新例⼦。 应⽤程序开发⼈员可以使⽤⼤量可重复使⽤的软件组件。 其中许多组件都是开源的,由⾃愿捐款开发,并且可以免费获得。 开发⼈员可以使⽤这些第三⽅组件快速构建功能丰富的应⽤程序。 尽管采⽤这种⽅法的好处显⽽易见,但如果公司使⽤第三⽅组件,则需要考虑安全漏洞的成本。
花期荼蘼#10未经验证的重定向和转发
当前,未经验证的重定向和转发在OWASP⼗⼤图表中排名第10,是⼀种经常利⽤的漏洞类型。 Web应⽤程序经常将⽤户重定向并转发到其他页⾯和⽹站。 没有适当的验证,攻击者就可以将受害者重定向到恶意站点或使⽤转发来访问未经授权的页⾯。
结论除夕祝福语简短2022
这些只是现代Web应⽤程序所遭受的⼀些安全漏洞。 但是,通过遵循这些视频中提供的提⽰和IBM Security Systems的其他帮助,以及使⽤⾼级安全软件(例如IBM AppScan),⽹站管理员可以查,纠正和避免这些和其他Web安全威胁。
翻译⾃:
owasp⼗⼤安全漏洞
漫步人生路歌词
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论