1.注入 - Injection
2.跨站腳本 - （XSS）
3.失效的驗(yàn)證和和會(huì)話管理
4.不安全的直接對(duì)象訪問
5.跨站請(qǐng)求偽造 - （CSRF）
6.不正確的安全設(shè)置
7.不安全的加密存儲(chǔ)
8.URL訪問限制缺失
9.沒有足夠的傳輸層防護(hù)
10.未驗(yàn)證的重定向和跳轉(zhuǎn)

一、注入-Injection
1、雖然還有其他類型的注入攻擊，但絕大多數(shù)情況下，問題設(shè)計(jì)的都是SQL注入
2、攻擊者通過發(fā)送SQL操作語句，達(dá)到獲取信息、篡改數(shù)據(jù)庫、控制服務(wù)器等目的。是目前費(fèi)長(zhǎng)流行的WEB攻擊手段
3、流行性：常見；危害性：嚴(yán)重

主要防范措施：
1.嚴(yán)格檢查用戶輸入，注意特殊字符： " " ’ ’ "’ "’ ; – "’ | | "’ "xp_"等
2.轉(zhuǎn)義用戶輸入內(nèi)容
3.拒絕已經(jīng)經(jīng)過轉(zhuǎn)義的輸入
4.使用參數(shù)化的查詢
5.使用SQL存儲(chǔ)過程
6.最小化SQL權(quán)限（禁用SA賬號(hào)）
7.防止錯(cuò)誤頁面信息泄露

二、跨站腳本 - XSS
1.影響面最廣的Web安全漏洞
2.攻擊者通過向URL或其他提交內(nèi)容插入腳本，來實(shí)現(xiàn)客戶端腳本執(zhí)行的目的
3.可分為三種類型：反射、存儲(chǔ)和DOM
流行性：極為廣泛 危害性中等

主要防范措施：
1.嚴(yán)格檢查用戶輸入
2.盡量限制在HTML代碼中插入不可信的內(nèi)容（可被用戶輸入或修改的內(nèi)容）
3.對(duì)于需要插入的不可信內(nèi)容必須先進(jìn)行轉(zhuǎn)義（尤其對(duì)特殊字符、語法符合必須轉(zhuǎn)義或重新編碼）
4.將Cookie設(shè)置為HttpOnly，防止被腳本獲取

三、失效的驗(yàn)證和會(huì)話管理
主要防范措施
1.用戶密碼強(qiáng)度（普通：6個(gè)字符以上；重要：8個(gè)字符以上；極其重要：使用多種驗(yàn)證方式）
2.不使用簡(jiǎn)單或可預(yù)期的密碼恢復(fù)問題
3.登錄出錯(cuò)時(shí)不要給出過多提示
4.登錄頁面需要加密
5.對(duì)多次登錄失敗的賬號(hào)進(jìn)行短時(shí)鎖定
6.驗(yàn)證成功后更換Session ID
7.使用128位以上有足夠隨機(jī)性的Session ID
8.設(shè)置會(huì)話閑置超時(shí)（可選會(huì)話絕對(duì)超時(shí)）
9.保護(hù)Cookie（Secure Flag /HTTPOnly flag）
9.不在URL中顯示Session ID

四、不安全的直接對(duì)象訪問
1.服務(wù)器上具體文件名、路徑或數(shù)據(jù)庫關(guān)鍵字等內(nèi)部資源被暴露在URL或網(wǎng)頁中，攻擊者可以此來嘗試直接訪問其他資源
2.所有Web應(yīng)用都會(huì)受此問題影響
流行性：常見；危害性：中等

主要防范措施：
1.避免在URL或網(wǎng)頁中直接引用內(nèi)部文件名或數(shù)據(jù)庫關(guān)鍵字
2.可以使用自定義的映射名稱來取代直接對(duì)象名
http://example.com/online/getnews.asp?item=11
3.鎖定網(wǎng)站服務(wù)器上的所有目錄和文件夾，設(shè)置訪問權(quán)限
4.驗(yàn)證用戶輸入的URL請(qǐng)求，拒絕包含./或.//的請(qǐng)求

五、跨站請(qǐng)求偽造（CRF）
1.攻擊者構(gòu)造惡意URL請(qǐng)求，然后誘騙合法用戶訪問此URL鏈接，以達(dá)到在Web應(yīng)用中以此用戶權(quán)限執(zhí)行特定操作的目的
2.和反射型XSS的主要區(qū)別是：反射型XSS的目的是在客戶端執(zhí)行腳本；CSRF的目的是在WEB應(yīng)用中執(zhí)行操作
流行性：廣泛 ；危害性：中等

主要防范措施：
1.避免在URL中明文顯示特定操作的參數(shù)內(nèi)容
2.使用同步令牌（Synchronizer Token），檢查客戶端請(qǐng)求是否包含令牌及其有效性
3.檢查Referer Header，拒絕來自非本網(wǎng)站的直接URL請(qǐng)求

六、不正確的安全設(shè)置
1.管理員在服務(wù)器安全配置上的疏忽，通常會(huì)導(dǎo)致攻擊者非法獲取信息、篡改內(nèi)容，升值控制整個(gè)系統(tǒng)
流行性：常見；危害性；中等

主要防范措施：
1.安裝最新版本的軟件及補(bǔ)丁
2.最小化安裝（只安裝需要的組件）
3.Web文件/SQL數(shù)據(jù)庫文件不存放在系統(tǒng)盤上
4.不在Web/SQL服務(wù)器上運(yùn)行其他服務(wù)
5.嚴(yán)格檢查所有與驗(yàn)證和權(quán)限有關(guān)的設(shè)定
6.權(quán)限最小化
7.不使用默認(rèn)路徑和預(yù)設(shè)賬號(hào)
8.按照微軟的最佳安全實(shí)踐進(jìn)行加固

七、不安全的加密存儲(chǔ)
1.對(duì)重要信息不進(jìn)行加密處理或加密強(qiáng)度不夠，或者沒有安全的存儲(chǔ)加密信息，都會(huì)導(dǎo)致攻擊者獲得這些信息
2.此風(fēng)險(xiǎn)還涉及Web應(yīng)用意外的安全管理
流行性：不常見 ；危害性：嚴(yán)重
造成的原因：
1.對(duì)于重要的信息，比如銀行卡號(hào)、密碼等，直接以明文寫入數(shù)據(jù)庫
2.使用自己編寫的加密算法進(jìn)行簡(jiǎn)單加密
3.使用MD5，SHA-1等低強(qiáng)度的算法
4.將加密信息和密鑰存放在一起

 對(duì)稱加密：對(duì)稱加密是最早和著名的技術(shù)。機(jī)密鑰匙可以是數(shù)字，一詞或者隨機(jī)子午的字符串，只需，應(yīng)用與以特定方式更改內(nèi)容的消息的文本，這可能是簡(jiǎn)單，只需通過的多個(gè)字母表中的位置偏移每個(gè)字母。只要發(fā)件人和收件人知到機(jī)密密鑰，他們可以進(jìn)行加密和解密使用此注冊(cè)表項(xiàng)的所有郵件
 非堆對(duì)稱加密：機(jī)密密鑰問題通過Internet或大型網(wǎng)絡(luò)他們交換時(shí)防止他們位于錯(cuò)誤手中。知到密鑰的人可以解密該郵件。一種回答是在其中有兩個(gè)相關(guān)的項(xiàng)--密鑰對(duì)的非堆成加密。公司密鑰可自由地向您發(fā)送一條消息，可能需要的任何人。第二個(gè)專用的密鑰是保持機(jī)密，以便只知道它。通過使用公鑰加密所有郵件（文本、二進(jìn)制的文件或文檔）只能進(jìn)行解密，通過應(yīng)用相同的算法，但通過使用匹配的私鑰。只能通過使用匹配的公鑰解密任何使用私鑰加密的郵件。這意味著您不必?fù)?dān)心會(huì)通過Internet傳遞公共密鑰（密鑰應(yīng)該是公共的）。不對(duì)成的加密問題但是，是它比對(duì)稱加密慢，他要求更多的處理能力來加密和解密消息的內(nèi)容。

主要防范措施：
1.對(duì)所有重要信息進(jìn)行加密
2.僅使用足夠強(qiáng)度的加密算法，比如AES，RSA
3.存儲(chǔ)密碼時(shí)，用SHA-256等健壯哈希算法進(jìn)行處理
4.產(chǎn)生的密鑰不能與加密信息一起存放
5.嚴(yán)格種植對(duì)加密存儲(chǔ)的訪問

八、URL訪問限制缺失
某些Web應(yīng)用包含一些“隱藏”的URL，這些URL不顯示在網(wǎng)頁鏈接中，但管理員可以直接輸入U(xiǎn)RL訪問到這些“隱藏“的頁面如果我們不對(duì)這些URL做到訪問限制，攻擊者仍然有機(jī)會(huì)打開他們

主要防范措施：
1.對(duì)于網(wǎng)站內(nèi)的所有內(nèi)容（不論公開的還是未公開的）都要進(jìn)行訪問控制檢查
2.只允許用戶訪問特定的文件類型，比如.html，.asp，.php等，進(jìn)制對(duì)其他文件類型的訪問
3.進(jìn)行滲透測(cè)試

九、沒有足夠的傳輸層防護(hù)
攻擊者可以嘗試抓取客戶端與Web服務(wù)器的網(wǎng)絡(luò)包，來獲取用戶憑據(jù)、SessionID等重要信息

主要的防范措施：
1.對(duì)所有驗(yàn)證頁面都是用SSL或TLS加密
2.對(duì)所有敏感信息的傳輸都使用SSL/TLS加密
3.在網(wǎng)頁中不要混雜HTTP和HTTPs加密
4.對(duì)Cookie使用Secure標(biāo)簽
5.保證服務(wù)器證書的有效性/合法性
6.只允許SSL 3.0或TLS 1.0 以上的版本協(xié)議
7.有需要的情況下，要求客戶端證書

十、未驗(yàn)證的重定向和跳轉(zhuǎn)
攻擊者可能利用未驗(yàn)證的重定向目標(biāo)來實(shí)現(xiàn)釣魚欺騙，誘騙用戶訪問惡意站點(diǎn)
攻擊者可能利用未驗(yàn)證的跳轉(zhuǎn)目標(biāo)來繞過網(wǎng)站的訪問控制檢查

主要防范措施：
1.盡量不用重定向和跳轉(zhuǎn)
2.對(duì)重定向或跳轉(zhuǎn)的參數(shù)內(nèi)容進(jìn)行檢查，拒絕站外地址或特定站內(nèi)頁面
3.不在URL中顯示目標(biāo)地址，以映射的代碼表示
http://example.com/redirect.asp?=234文章來源地址http://www.zghlxwxcb.cn/news/detail-488479.html

到了這里，關(guān)于OWASP TOP 10漏洞分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！