新闻中心

    推倒重来难产的十大漏洞榜单?浅谈OWASP Top 10

    2019-12-24 20:48:24 来源:opebet-ope体育官网-ope体育网址 浏览次数 25

      :最近Uber的日子真是不太平,自商业伎俩,公司性别歧视,前CEO作风问题之后,今天又爆出了大规模资料外泄事件。小编一早醒来就瞧着Uber在风口冲浪

      今天咱们偏偏不说Uber的事,避避风头,聊聊关于这些公司到底是被哪些漏洞给征服的。

      OWASP日前发布了最新版本的TOP 10——十大安全漏洞,也即本次华山论剑。

      OWASP (Open Web Application Security Project)是一个开放社群、非营利性组织,长期致力于协助政府企业以及个人了解并改善网页应用程式与网页服务的安全性。

      其中最具权威的就是其十大安全漏洞列表。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,帮助企业和个人规范开发流程和测试流程,提高安全性,是白帽Web攻防的一个重要核心标准。

      注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未被恰当授权时访问数据。

      与认证和会话管理相关的应用函数经常被错误地应用,这就允许攻击者窃取密码、密钥、会话token,或者利用其他的应用错误来暂时或者永久地获取用户身份信息。

      许多web应用和API不能合理的保护敏感数据,比如金融、医疗数据和PII。攻击者可能窃取或篡改这些弱保护的数据进行信用卡诈骗、身份窃取或者其他犯罪。敏感数据需要额外的保护,比如在存放和传输过程中的加密,在与浏览器进行交换时也需要特殊的预防措施。

      许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。

      仅允许认证的用户的限制没有得到适当的强制执行。攻击者可以利用这些权限来访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。

      安全配置错误是常见的问题,这是不安全的默认配置、不完整或者ad hoc网络配置、开放云存储、错误配置的HTTP头、含有敏感信息的冗长错误信息造成的。除了要安全设定所有的操作系统、框架、库、应用外,还要及时进行系统更新和升级。

      当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或使用可以创建HTML或者Java的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。

      不安全的反序列化漏洞经常导致远程代码执行。即使反序列化错误不导致远程代码执行,也可以被用于发起攻击,例如重放攻击、注入攻击和权限提升攻击等。

      组件,比如库、框架和其他软件模块,是与应用相同权限运行的。如果一个有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。使用已知漏洞组件的应用和API可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。

      记录和监控不足,加上没有与应急响应有效的结合,让攻击者可以进一步攻击系统、篡改、提取或者销毁数据。大多数的数据泄露研究显示,通常要经过200天以上,使用者才能察觉到数据泄露事件的发生,而且往往是外部机构而不是内部的监控系统发现数据泄露的事实。

      当然这十大风险只是是一个框架,随着技术发展不断发生变化,许多十名开外的漏洞,仍然需要重点关注。

      企业和组织不能只将这10项视为内部唯一要解决的安全威胁。否则,反而会让企业资安风险的因应范围,限缩到这十个层面。