2013WEB十大安全问题OWASPTOP10解读

WEB安全性测试1.WEB安全破绽.............................................................................................................................12.常有的10种安全破绽（OWASPTOP10）..............................................................................12.1注入....................................................................................................................................12.2无效的身份认证和会话管理............................................................................................22.3跨站脚本（XSS）............................................................................................................42.4直接引用不安全的对象....................................................................................................52.5安全配置错误....................................................................................................................62.6敏感信息泄漏....................................................................................................................72.7缺乏功能级接见控制........................................................................................................82.8跨站恳求假造（CSRF）..................................................................................................92.9使用含有已知破绽的组件..............................................................................................112.10未考证的重定向和转发................................................................................................113.Top10风险要素总结................................................................................................................134.怎样进行考证测试....................................................................................................................134.1代码审察..........................................................................................................................134.2安全测试..........................................................................................................................135.实质测试工作............................................................................................错误！不决义书签。5.1QA测试............................................................................................错误！不决义书签。5.2Local测试.........................................................................................错误！不决义书签。0WEB安全破绽往常是指因为WEB程序自己系统构造、设计方法、开发编码的缺点而造成的安全破绽.2.常有的10种安全破绽（OWASPTOP10）OWASP(开放Web应用安全项目组-OpenWebApplicationSecurityProject)每隔数年会更新10个最重点的Web应用安全问题清单，即OWASPTOP10。2.1注入描绘注入攻击破绽常常是应用程序缺乏对输入进行安全性检查所惹起的。攻击者把一些包含攻击代码当成命令或许查问语句发送给解说器，这些歹意数据能够欺诈解说器，从而履行计划外的命令或许未受权接见数据。注入破绽往常能在SQL查问、LDAP查问、OS命令、程序参数等中出现1危害注入能致使数据丢掉或数据损坏、缺乏可审计性或是拒绝服务。注入破绽有时甚至能致使完整接收主机。事例解决方法使用安全的API，防止使用解说器对输入的特别字符进行Escape转义办理使用白名单来规范化的输入考证方法2.2无效的身份认证和会话管理描绘与认证和会话管理有关的应用程序功能常常得不到正确管理，这就致使攻击者损坏密2码、密匙、会话令牌或利用实行破绽假冒其余用户身份。危害这些破绽可能致使部分甚至所有帐户遭到攻击。一旦攻击成功，攻击者能履行合法用户的任何操作。所以特权帐户会造成更大的损坏。事例解决方法使用内置的会话管理功能。使用单调的进口点。保证在一开始登录SSL保护的网页。获取注销的权益；增添超时；保证你使用的是安全有关的功能；使用强盛的认证；不进行默认身份考证32.3跨站脚本（XSS）描绘跨站脚本是最广泛的web应用安全破绽。当应用程序在发送给阅读器的页面中包含用户供给的数据，但没有经过适合考证或转译，就会致使跨站脚本破绽。目前常有的3中XSS破绽：1）储存式；2）反射式；3）鉴于DOM。危害攻击者能在受害者阅读器中履行脚本以挟持用户会话、伤害网站、插入歹意内容、重定向用户、使用歹意软件挟持用户阅读器等等。事例解决方法对所有不行信的输入数据进行适合的转义escape。使用白名单的拥有适合的规范化解码功能的输入考证方法.使用内容安全策略(CSP)来抵抗整个站点的攻击42.4直接引用不安全的对象描绘所谓"直接引用不安全的对象"，即Insecuredirectobjectreferences，意指一个已经受权的用户，经过改正接见时的一个参数，进而接见到本来其并无获取受权的对象。Web应用常常在生成Web页面时会用它的真切名字，且其实不会对所有的目对象接见时来检查用户权限，所以这就造成不安全的对象直接引用的破绽。我们看以下的一个示例，或许这样就更简单理解什么是不安全的对象直接引用。攻击者发现他自己的参数是6065，即?acct=6065；他能够直接改正参数为6066，即?acct=6066；这样他就能够直接看到6066用户的账户信息。危害这类破绽能伤害参数所引用的所有数据。除非名字空间很稀少，不然攻击者很简单接见该种类的所有数据。事例5解决方法使用鉴于用户或会话的间接对象接见,这样能防备攻击者直接攻击未受权资源.接见检查:对任何来自不受信源所使用的所有直接对象引用都进行接见控制检测，这样才能保证用户对要求的对象有接见权限.2.5安全配置错误描绘安全配置错误能够发生在一个应用程序货仓的任何层面，包含平台、Web服务器、应用服务器、数据库、架构和自定义代码。攻击者经过接见默认账户、未使用的网页、未安装补丁的破绽、未被保护的文件和目录等，以获取对系统未受权的接见。危害系统可能在未知的状况下被完整攻破，用户数据可能跟着时间推移而被所有盗走或许篡改。事例6解决方法自动化安装部署，保证开发、QA、产品环境的配置尽量同样，减少部署一个新安全环境的耗资。实时认识并部署每个环境的软件更新和补丁信息使用供给有效分别和安全性强盛的应用程序架构实行破绽扫描和安全审计，以帮助检查错误的配置或许未安装的补丁2.6敏感信息泄漏描绘保护与加密敏感数据已经成为网络应用的最重要的构成部分。最常有的破绽是应当进行加密的数据没有进行加密。使用加密的状况下常有问题是不安全的密钥和使用弱算法加密。危害攻击者能够偷取或窜改机密的或私有的信息攻击者经过这些奥密信息而进行下一步的攻击造成公司名誉损坏，用户满意度降落，甚至会有法律诉讼等。7事例解决方法展望一些威迫,加密数据的储存和传输赶快消除没有必需寄存的重要的/敏感数据保证使用适合强盛的标准算法和密钥,而且密钥管理到位.保证使用密码专用算法储存密码禁用自动采集敏感数据,禁用包含敏感数据的页面缓存.2.7缺乏功能级接见控制描绘有时功能级的保护是经过系统配置管理的，当系统配置错误时，开发人员一定做相应的代码检查，不然应用程序不可以正确的保护页面恳求。攻击者就是利用这类破绽接见未经受权的功能模块。8危害攻击者很简单就把网址改成享有特权的网页，这样就能够使用匿名或一般用户接见未受保护的个人页面，进而提高未受权功能和有关数据信息。事例解决方法检查管理权限的过程并保证能够简单进行升级和审计，切忌硬编码。默认缺省状况下，应当拒绝所有接见的履行权限。关于每个功能的接见，需要明确的角色受权。检查每个功能分派的权限合理有效。2.8跨站恳求假造（CSRF）描绘跨站恳求假造CSRF，是利用了网站同意攻击者展望特定操作的所有细节这一特色。由于阅读器自动发送会话cookie等认证凭据，致使攻击者能够创立歹意的web页面来产生伪造恳求。这些假造的恳求很难和合法的恳求划分开。CSRF听起来像跨站脚本（XSS），但它与XSS不一样，而且攻击方式几乎相左。XSS利9用站点内的相信用户，而CSRF则经过假装来自受相信用户的恳求来利用受相信的网站。危害攻击者能够让受害用户改正任何同意改正的数据，履行任何用户同意的操作。比如改正密码、登岸注销等。事例解决方法给每个HTTP恳求增添一个不行展望的令牌，并保证该令牌对每个用户会话来说是独一性。最好的方法是将特有的令牌包含在隐蔽字段中，经过HTTP恳求发送，防止在URL中裸露出来。要求用户从头认证或许判断他们是一个真切的用户。102.9使用含有已知破绽的组件描绘开发人员使用的组件也会含有破绽，这些破绽能够被自动化工具发现和利用。而后攻击者依据需要定制攻击代码并实行攻击。危害依据破绽的级别，严重的可能造成主机被完整接收和数据泄漏。事例解决方法表记正在使用的所有组件及其版本实时关注这些组件的安全信息并保证他们是最新的。成立使用组件的安全策略，严禁使用未经安全评估的组件。在适合状况下，对组件进行安全封装，精简不用要的功能，封装易受攻击部分。2.10未考证的重定向和转发描绘应用程序常常将用户重定向到其余网页，或以近似的方式进行内部转发。当目标网页是11经过一个未考证的参数来指准时，就简单被攻击者利用。攻击者经过诱使受害人去点击未经考证的重定向链接，进而利用不安全的转发绕过安全检测。危害攻击者经过重定向能够试图安装歹意软件或许诱使受害人泄漏密码等敏感信息，经过转发能够绕过接见控制。事例解决方法防止使用重定向和转发假如使用了重定向和转发，则不要在