除了關(guān)注業(yè)務(wù)本身外，越來(lái)越多的企業(yè)也開始關(guān)注web安全。Web安全領(lǐng)域我們經(jīng)?？吹絆WASP Top 10，那么什么是OWASP Top 10呢?它跟Web有什么關(guān)系呢?

OWASP(開放式Web應(yīng)用程序安全項(xiàng)目)是一個(gè)開源的、非營(yíng)利性的全球性安全組織，致力于改進(jìn)Web應(yīng)用程序的安全，這個(gè)組織最出名是，它總結(jié)了10種最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)，警告全球所有的網(wǎng)站擁有者，應(yīng)該警惕這些最常見、最危險(xiǎn)的漏洞。

這就是著名的OWASP Top 10。

OWASP Top 10包括：注入、失效身份驗(yàn)證和會(huì)話管理、敏感信息泄露、XML外部實(shí)體注入攻擊(XXE)、存取控制中斷、安全性錯(cuò)誤配置、跨站腳本攻擊(XSS)、不安全的反序列化、使用具有已知漏洞的組件、日志記錄和監(jiān)控不足。

注入

當(dāng)Web應(yīng)用程序缺乏對(duì)使用的數(shù)據(jù)進(jìn)行驗(yàn)證和清理的時(shí)候，極易發(fā)生注入攻擊。著名的注入攻擊有SQL注入、NoSQL注入、OS注入等。注入攻擊會(huì)導(dǎo)致數(shù)據(jù)丟失和被破壞，甚至主機(jī)被黑客完全接管。

失效身份驗(yàn)證和會(huì)話管理

失效身份驗(yàn)證和會(huì)話管理主要發(fā)生在Web應(yīng)用程序身份驗(yàn)證環(huán)節(jié)，身份驗(yàn)證機(jī)制出現(xiàn)邏輯問(wèn)題便會(huì)出現(xiàn)此類問(wèn)題。黑客會(huì)利用身份驗(yàn)證漏洞，嘗試控制系統(tǒng)中的賬戶，一旦操作成功，他便能合法的進(jìn)行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最廣泛的Web應(yīng)用程序問(wèn)題，Web應(yīng)用程序、API未加密，或者無(wú)法準(zhǔn)確保護(hù)敏感信息，均會(huì)導(dǎo)致個(gè)人信息、密碼等敏感信息泄露，被黑客出售給第三人，或用于違法犯罪目的。

XML外部實(shí)體注入攻擊(XXE)

這種攻擊主要針對(duì)解析XML輸入的Web應(yīng)用程序。弱配置的XML解析器處理包含外部實(shí)體引用的XML輸入時(shí)，就會(huì)發(fā)生XXEE攻擊。黑客會(huì)利用這個(gè)漏洞竊取URI文件處理器的內(nèi)部文件和共享文件，從而監(jiān)聽或執(zhí)行遠(yuǎn)程代碼，或發(fā)動(dòng)拒絕服務(wù)攻擊。

存取控制中斷

如果對(duì)已經(jīng)身份驗(yàn)證通過(guò)的用戶，沒(méi)有實(shí)施合適的訪問(wèn)權(quán)限控制，那么攻擊者便可以通過(guò)這個(gè)漏洞，去使用未經(jīng)授權(quán)的功能，以及查看未經(jīng)授權(quán)的數(shù)據(jù)，例如訪問(wèn)用戶的賬戶、查看敏感文件等等。

安全性錯(cuò)誤配置

操作者使用默認(rèn)配置、臨時(shí)配置、開源云存儲(chǔ)、http標(biāo)頭配置等不當(dāng)配置，攻擊者便會(huì)利用這些錯(cuò)誤配置，獲得更高的權(quán)限。安全性錯(cuò)誤配置是最常見的漏洞之一，攻擊難度低。攻擊者可使用自動(dòng)化程序發(fā)動(dòng)攻擊，極其危險(xiǎn)。

跨站腳本攻擊(XSS)

黑客將惡意的客戶端腳本注入到目標(biāo)網(wǎng)站，并將該網(wǎng)站用作傳播方法。攻擊者發(fā)動(dòng)XSS攻擊后，受害網(wǎng)站的顯示方式會(huì)被黑客控制，網(wǎng)站會(huì)被黑客重定向至新頁(yè)面，或者顯示廣告、違法犯罪等內(nèi)容。

不安全的反序列化

攻擊程序會(huì)嘗試在不進(jìn)行任何驗(yàn)證的情況下，對(duì)數(shù)據(jù)進(jìn)行反序列化，不安全的反序列化會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行、重放攻擊、注入攻擊等。

使用具有已知漏洞的組件

如果Web應(yīng)用程序含有已知的漏洞，攻擊者可利用漏洞獲取數(shù)據(jù)或接管服務(wù)器。Web應(yīng)用程序所使用的框架、庫(kù)或者其他軟件模塊，會(huì)破壞應(yīng)用程序的防御，造成更為嚴(yán)重的后果。

日志記錄和監(jiān)控不足

日志記錄和監(jiān)控是一種有效的防范手段，它能在發(fā)送問(wèn)題時(shí)，幫助你迅速采取行動(dòng)，如果應(yīng)用程序日志記錄和監(jiān)控不足，黑客能進(jìn)一步控制系統(tǒng)，造成更大、更長(zhǎng)遠(yuǎn)的危害。