在滲透測試中,OWASP TOP 10是比較重要的一個知識點。OWASP(開放式Web應用程序安全項目)的工具、文檔、論壇和全球各地分會都是開放的,對所有致力於改進應用程序安全的人士開放,其最具權威的就是“10項最嚴重的Web 應用程序安全風險列表” ,總結了Web應用程序最可能、最常見、最危險的十大漏洞,是開發、測試、服務、諮詢人員應知應會的知識。被用來分類網絡安全漏洞的嚴重程度,目前被許多漏洞獎勵平臺和企業安全團隊評估錯誤報告。這個列表總結了Web應用程序最可能、最常見、最危險的十大漏洞,可以幫助IT公司和開發團隊規範應用程序開發流程和測試流程,提高Web產品的安全性。
一:發展歷程
OWASP多年來經歷了幾次迭代。 OWASP Top 10的版本分別在2004年,2007年,2010年,2013年和2017年發佈。
二:2017 OWASP Top10威脅解讀
A1:2017-Injection(注入漏洞)
當不可信的數據作爲命令或查詢語句的一部分被髮送給解釋器的時候,會發生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻擊者發送的惡意數據可能會誘使解釋器執行計劃外的命令,或在沒有適當授權的情況下訪問數據。
A2:2017-BrokenAuthentication(中斷身份認證)
與認證和會話管理相關的應用函數經常被錯誤地實現,從而允許攻擊者破壞密碼、密鑰或是會話令牌,或者利用其他的應用漏洞來暫時或永久地獲取用戶身份信息。
A3:2017-Sensitive DataExposure(敏感數據泄露)
許多web應用程序和API不能正確的保護敏感數據,如金融、醫療保健和PII(個人身份信息)等。攻擊者可能會竊取或篡改這些弱保護的數據,從而進行信用卡欺詐、身份盜竊或其他犯罪行爲。在缺少額外保護(例如,在存放和傳輸過程中加密,且在與瀏覽器進行交換時需要特別謹慎)的情況下,敏感數據可能會受到損害。
A4:2017-XML ExternalEntities(XXE)XML外部處理器漏洞
許多過時的或配置不當的XML處理器在XML文檔內進行外部實體引用。外部實體可用於泄露內部文件,通過使用文件URI處理器、內部文件共享、內部端口掃描、遠程代碼執行以及拒絕服務攻擊等手段。
A5:2017-Broken AccessControl(中斷訪問控制)
限制“認證的用戶可以實現哪些操作”的命令沒有得到正確的執行。攻擊者可以利用這些漏洞訪問未經授權的功能和數據,例如訪問其他用戶的賬戶,查看敏感文件,篡改其他用戶的數據,更改訪問權限等。
A6:2017-SecurityMisconfiguration(安全配置錯誤)
安全配置錯誤是最常見的問題。這通常是由不安全的默認配置,不完整或ad hoc配置,開放雲存儲,錯誤配置的HTTP標頭,以及包含敏感信息的詳細錯誤信息造成的。所有的操作系統、框架、庫、應用程序都需要進行安全配置外,還必須要及時進行系統更新和升級。
A7:2017-Cross-SiteScripting(XSS)跨站腳本攻擊
如果應用程序在未經適當驗證或轉義的情況下,能夠在新網頁中包含不受信任的數據,或是使用可以創建HTML或者JavaScript的瀏覽器API更新包含用戶提供的數據的現有網頁,就會出現XSS漏洞。XSS允許攻擊者在受害者的瀏覽器中執行腳本,這些腳本可以劫持用戶會話、破壞網站或將用戶重定向到惡意網站中。
A8:2017-InsecureDeserialization(不安全的反序列化)
不安全的反序列化漏洞通常會導致遠程代碼執行問題。即使反序列化錯誤不會導致遠程代碼執行,也可以被用來執行攻擊,包括重放攻擊、注入攻擊以及權限提升攻擊等。
A9:2017-UsingComponents with Known Vulnerabilities(使用含有已知漏洞的組件)
組件(如庫、框架和其他軟件模塊)是以與應用程序相同的權限運行的。如果存在漏洞的組件被利用,這種攻擊可能會導致嚴重的數據丟失或服務器接管危機。使用已知漏洞組件的應用程序和API可能會破壞應用程序的防禦系統,從而啓動各種形式的攻擊,造成更爲嚴重的影響。
A10:2017-InsufficientLogging & Monitoring(不足的記錄和監控漏洞)
不足的記錄和監控漏洞,再加上事件響應能力欠缺以及缺少有效的整合,使得攻擊者可以進一步攻擊系統,維持其持久性,轉而攻擊更多的系統,並篡改、提取或銷燬數據。大部分的數據泄露研究顯示,檢測出發生數據泄漏的時間通常需要超過200天,而且通常是外部機構率先發現數據泄漏的事實,而不是通過內部的審計流程或監控發現的。
