三分钟了解OWASP TOP 10 2017 RC2
2017-11-30 13:26
831 查看
www.sohu.com/a/201986533_354899
注:这表风险计算没有考虑任何与您的特定应用程序相关的技术细节,实际计算风险时请结合具体情况调整。
风险计算 Top1:注入
将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
Top2: 失效的身份认证和会话管理
通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发中的缺陷来冒充其他用户的身份(暂时或永久)。
Top3: 敏感数据泄露
许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗保健数据和PII。攻击者可以窃取或修改这些未加密的数据,以进行信用卡诈骗、身份盗窃或其他犯罪。因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、被存储的数据以及浏览器交互数据。
Top4:XML 外部实体(XXE)(新增)
许多较早的或配置不佳的XML处理器评估了XML文档中的外部实体引用。外部实体可以通过URI文件处理器、在Windows服务器上未修复的SMB文件共享、内部端口扫描、远程代码执行来实施拒绝服务攻击,例如:Billion Laughs攻击。
Top5:失效的访问控制(合并原4、7)
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
Top6: 安全配置错误
安全配置错误是数据中最常见的缺陷,这部分缺陷包含:手动配置错误、临时配置(或根本不配置)、不安全的默认配置、开启S3 bucket、不当的HTTP 标头配置、包含敏感信息的错误信息、未及时修补或升级(或根本不修补和升级)系统、框架、依赖项和组件。
Top7: 跨站脚本
每当应用程序的新网页中包含不受信任的、未经过恰当验证或转义的数据,或者使用可以创建Java 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。XSS 缺陷让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、污损网站或将用户重定向到恶意站点。
Top8:不安全的反序列化(新增)
当应用程序接收到恶意的序列化对象时,会出现不安全的反序列缺陷。不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,也可以重播、篡改或删除系列化对象以欺骗用户、进行注入攻击和提升权限。
Top9: 使用含有已知漏洞的组件
组件(例如:库、框架和其他软件模块)运行和应用程序相同的权限。如果使用含有已知漏洞的组件,这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。
Top10:不足的日志记录和监控(新增)
不足的日志记录和监控,以及事件响应集成的丢失或无效,使得攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,并且通常通过外部检测方检测,而不是通过内部进程或监控检测。
注:这表风险计算没有考虑任何与您的特定应用程序相关的技术细节,实际计算风险时请结合具体情况调整。
风险计算 Top1:注入
将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
Top2: 失效的身份认证和会话管理
通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发中的缺陷来冒充其他用户的身份(暂时或永久)。
Top3: 敏感数据泄露
许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗保健数据和PII。攻击者可以窃取或修改这些未加密的数据,以进行信用卡诈骗、身份盗窃或其他犯罪。因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、被存储的数据以及浏览器交互数据。
Top4:XML 外部实体(XXE)(新增)
许多较早的或配置不佳的XML处理器评估了XML文档中的外部实体引用。外部实体可以通过URI文件处理器、在Windows服务器上未修复的SMB文件共享、内部端口扫描、远程代码执行来实施拒绝服务攻击,例如:Billion Laughs攻击。
Top5:失效的访问控制(合并原4、7)
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
Top6: 安全配置错误
安全配置错误是数据中最常见的缺陷,这部分缺陷包含:手动配置错误、临时配置(或根本不配置)、不安全的默认配置、开启S3 bucket、不当的HTTP 标头配置、包含敏感信息的错误信息、未及时修补或升级(或根本不修补和升级)系统、框架、依赖项和组件。
Top7: 跨站脚本
每当应用程序的新网页中包含不受信任的、未经过恰当验证或转义的数据,或者使用可以创建Java 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。XSS 缺陷让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、污损网站或将用户重定向到恶意站点。
Top8:不安全的反序列化(新增)
当应用程序接收到恶意的序列化对象时,会出现不安全的反序列缺陷。不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,也可以重播、篡改或删除系列化对象以欺骗用户、进行注入攻击和提升权限。
Top9: 使用含有已知漏洞的组件
组件(例如:库、框架和其他软件模块)运行和应用程序相同的权限。如果使用含有已知漏洞的组件,这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。
Top10:不足的日志记录和监控(新增)
不足的日志记录和监控,以及事件响应集成的丢失或无效,使得攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,并且通常通过外部检测方检测,而不是通过内部进程或监控检测。
相关文章推荐
- OWASP 2017 TOP 10
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- Web应用安全威胁与防治——基于OWASP Top 10与ESAPI
- 对于 “OWASP TOP 10” 的一些理解
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP TOP 10概述
- Web应用安全威胁与防治:基于OWASP Top 10与ESAPI
- OWASP Top 10-2010(旧版) 到 OWASP Top 10-2013(新版)变化
- 2017 年度书单 Top 10
- OWASP Top 10 – 2013十大安全隐患
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- 最新2007年OWASP十大Web资安漏洞 (2007 OWASP Top 10)
- Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI
- Top 10 Mobile Testing Tools In 2017 for Android & iOS
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP top 10 漏洞的总结笔记
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
- OWASP Top 10 2010 十大安全隐患