阿里云
FIFA
发表主题 回复主题
  • 2011阅读
  • 0回复

[云安全技术和产品专区 ]最新十大web安全隐患-四年之后,OWASP发布新版本OWASP Top10 2017

级别: 论坛版主
发帖
208
云币
388
OWASP Top10是什么? $W_sIS0\z  
N$&)gI:  
GpwoS1#)0|  
OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。 o paRk.p  
qS|ns'[  
pDYcsC{p  
OWASP Top 10则是OWASP项目总结的10大最关键Web应用安全隐患列表。 58]C``u@Y  
1iLrKA  
有什么新的变化? 1@}s:  
OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了3个新分类。 zEBUR%9  
UiE 1TD{  
 Y%zYO  
开放网络应用程序安全项目(OWASP)在2013年发布了最新版本的臭名昭着的前10名漏洞排名。 /^M|$JRI  
;N(9nX}%)  
OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安全团队评估错误报告。 k`(Cwp{Oc  
OyG#  
OWASP多年来经历了几次迭代。 OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年发布。 <>71;%e;'  
br3r!Vuz/-  
:P/0"  
与往年一样,注入仍然是应用程序安全风险的首要问题,但排名却出现了一些混乱,出现了三名新成员 - XML外部实体(XXE)、不安全的反序列化、不足的记录和监控 4Pv Pp{Y  
/:GeXDJw  
同前几年一样,排名是根据用户意见和公开讨论编写的。 goje4;  
Ge_Gx*R  
下面是一个描述每个漏洞的列表,以及比较OWASP 2017 Top 10和旧版迭代的表格。 -\I".8"YE  
c,L{Qv"n{  
bdYx81  
'UFPQ  
A1:2017-注入 D/oO@;`'c  
注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未被恰当授权时访问数据。 1e)5D& njS  
A2:2017-失效的身份认证 ]_js-+w6  
与认证和会话管理相关的应用函数经常被错误地应用,这就允许攻击者窃取密码、密钥、会话token,或者利用其他的应用错误来暂时或者永久地获取用户身份信息 ir<K"wi(2  
A3:2017-敏感信息泄露 v/G)E_  
许多web应用和API不能合理的保护敏感数据,比如金融、医疗数据和PII。攻击者可能窃取或篡改这些弱保护的数据进行信用卡诈骗、身份窃取或者其他犯罪。敏感数据需要额外的保护,比如在存放和传输过程中的加密,在与浏览器进行交换时也需要特殊的预防措施。 iF^    
A4:2017-外部处理器漏洞(XXE) W6&mXJ^3L  
许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。 q /eod  
A5:2017-无效的访问控制 c2~oPUj  
仅允许认证的用户的限制没有得到适当的强制执行。攻击者可以利用这些权限来访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。 *-,jIaL;  
A6:2017-错误的安全配置 LXq0hI  
安全配置错误是常见的问题,这是不安全的默认配置、不完整或者ad hoc网络配置、开放云存储、错误配置的HTTP头、含有敏感信息的冗长错误信息造成的。除了要安全设定所有的操作系统、框架、库、应用外,还要及时进行系统更新和升级。 L43]0k  
A7:2017-跨站脚本攻击(XSS) a0)]W%F  
当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或使用可以创建HTML或者JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。 m#|h22^H  
A8:2017-不安全的反序列化 q Oyo+hu  
不安全的反序列化漏洞经常导致远程代码执行。即使反序列化错误不导致远程代码执行,也可以被用于发起攻击,例如重放攻击、注入攻击和权限提升攻击等。 t2_pwd*B  
A9:2017-使用含有已知漏洞的组件 b{(= C 3  
组件,比如库、框架和其他软件模块,是与应用相同权限运行的。如果一个有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。使用已知漏洞组件的应用和API可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。 YgR}y+q^6  
A10:2017-不完善的日志记录和监控 *5z"Xy3J  
记录和监控不足,加上没有与应急响应有效的结合,让攻击者可以进一步攻击系统、篡改、提取或者销毁数据。大多数的数据泄露研究显示,通常要经过200天以上,使用者才能察觉到数据泄露事件的发生,而且往往是外部机构而不是内部的监控系统发现数据泄露的事实。 :Oh*Q(>  
t2hI^J0y  
/#Lm)-%G  
从2003发展至2017,历年OWASP Top 10以及对应关系如下表所示。 EXizRL-9o  
EY}*}-3  
H$!sK  
Lt2<3DB  
5-! Zm]  
/|WBk}  
OWASP Top 10项目对现有的安全问题从威胁和脆弱性进行可能性分析,并结合技术和商业影响的分析,输出目前一致公认、最严重的十类web应用安全风险排名,并提出安全解决方案和建议。Top 10是一个高度提炼的web安全最佳实践输出,现实的意义在于帮助和指导开发者、安全测试人员、web应用安全管理团队、运维团队,提高风险意识,降低业务系统安全风险。同时其对于安全厂商的产品能力提升也有指导意义。 /c!@ H(^)  
2B[I- K s  
;R*tT%Z,  
对于企业业务系统Web安全风险管理以及企业整体信息安全建设,从来没有终点,我们希望云上用户关注对照此表利用好最佳实践,结合身环境,多方位持续性的自查风险、改善,采取有重点的保护防范措施,在人、技术、流程三维度以提高业务系统安全性。 bF c %  
W/G75o~6  
OR<%h/ \f  
HImQ.y!B  
阿里云Web应用防火墙轻松应对Web漏洞攻击防护,详情请点击WAF介绍 eeCrHt4;  
k{E!X  
( P\oLr9  
@WTzFjv@?4  
n}3fItSJ  
|*JMCI@Mz  
UO}Yr8Z;  
附件:OWASP Top10 2017下载  `s~[q  
转自:https://www.bleepingcomputer.com/news/security/four-years-later-we-have-a-new-owasp-top-10/ HC>MCwx=r  
O>/& -Wk=  
H&=fD` Xq  
t$(<9  
M&5De{LS}  
`FRdo  
[ 此帖被正禾在2017-11-23 15:47重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 60 + 39 = ?
上一个 下一个