OWASP TOP 10漏洞是指由Open Web Application Security Project（OWASP）發(fā)布的十大最嚴重、

最普遍的Web應(yīng)用程序安全漏洞。這些漏洞在當今的Web應(yīng)用程序中非常普遍，而且具有很高的危害性。

因此被視為web應(yīng)用程序安全領(lǐng)域必須認真防范和修復(fù)的關(guān)鍵問題。而且大家去應(yīng)聘安全測試崗位或

有安全技能要求的軟件測試崗位，熟悉OWASP TOP 10漏洞是必備要求。以下對于OWASP TOP 10 逐一介紹。

 

 

01 訪問控制失效

 

訪問控制失效漏洞是指由于程序開發(fā)時的缺陷，導致限制未生效，從而產(chǎn)生了失效的訪問控制漏洞。攻擊者可以

利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)，例如：訪問其他用戶的賬戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、

更改訪問權(quán)限等。

 

圖：某酒店系統(tǒng)越權(quán)刪除修改用戶信息漏洞

 

02 加密機制失效

 

加密機制失效指的是在Web應(yīng)用程序中，由于加密措施的不當或缺失，導致敏感數(shù)據(jù)在傳輸或存儲過程中被泄露或遭受篡改的風險增加。這種漏洞通常與加密算法的選擇、密鑰管理、協(xié)議使用等方面的問題相關(guān)。

 

圖：某深圳公司，員工將郵箱密碼等敏感上傳github，導致泄露

 

03 注入

 

注入漏洞（Injection）指的是攻擊者通過向應(yīng)用程序輸入惡意數(shù)據(jù)，從而實現(xiàn)對應(yīng)用程序的攻擊和控制。這類漏洞主要是由于應(yīng)用程序沒有正確地驗證和過濾用戶輸入的數(shù)據(jù)，導致惡意代碼得以執(zhí)行。從而進一步數(shù)據(jù)泄露、數(shù)據(jù)篡改、系統(tǒng)被控。

 

圖：某銀行某站存在注入漏洞，導致站點賬號密碼數(shù)據(jù)泄露

 

 

04 不安全設(shè)計

 

不安全設(shè)計（Insecure Design） 指的是在應(yīng)用程序設(shè)計階段就存在的安全缺陷，這些缺陷可能導致應(yīng)用程序容易受到攻擊。不安全設(shè)計通常與應(yīng)用程序的架構(gòu)、功能、數(shù)據(jù)處理和交互方式等方面有關(guān)。包括關(guān)鍵身份驗證、訪問控制、業(yè)務(wù)邏輯等。

 

圖：某網(wǎng)站存在的支付業(yè)務(wù)漏洞，可通過篡改金融，1元購買保險。

 

05 安全配置錯誤

 

安全配置錯誤通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有操作系統(tǒng)、框架、庫和應(yīng)用程序等進行安全配置，而且必須及時修補和升級它們。

 

圖：某通分站服務(wù)配置不當可getshell

 

06 自帶缺陷和過時的組件

 

自帶缺陷和過時的組件是指Web應(yīng)用程序中使用的第三方庫、框架、插件或其他軟件組件存在已知的安全漏洞，或者這些組件的版本過于陳舊，不再接收安全更新或修補程序。若被攻擊者利用，可能會造成嚴重的數(shù)據(jù)丟失和服務(wù)器接管。同時，使用含有已知漏洞的組件的應(yīng)用程序和API可能會破壞應(yīng)用程序防御、造成各種攻擊并產(chǎn)生嚴重影響。

 

圖：某寶典使用WebView組件，該組件存在任意代碼執(zhí)行漏洞

 

07 身份識別和身份驗證錯誤

 

通常，通過錯誤使用應(yīng)用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其他開發(fā)缺陷來暫時性或永久性冒充其他用戶的身份。

 

在開發(fā)web應(yīng)用程序時，開發(fā)人員往往只關(guān)注Web應(yīng)用程序所需的功能，所以常常會建立自定義的認證和會話方案。但是要正確的實現(xiàn)這些方案卻是很難的。結(jié)果就在退出、密碼管理、超時、密碼找回、賬戶更新等方面存在漏洞。

 

圖：政府某公安系統(tǒng)，密碼使用弱口令，容易被爆破

 

08 軟件和數(shù)據(jù)完整性故障

 

軟件和數(shù)據(jù)完整性故障與不能防止完整性違規(guī)的代碼和基礎(chǔ)設(shè)施有關(guān)。一個例子是應(yīng)用程序依賴來自不受信任的來源、存儲庫和內(nèi)容交付網(wǎng)絡(luò)(CDN)的插件、庫或模塊。不安全的CI/CD管道可能會導致未經(jīng)授權(quán)的訪問、惡意代碼或系統(tǒng)受損。最后，許多應(yīng)用程序現(xiàn)在包括自動更新功能，其中更新在沒有充分完整性驗證的情況下被下載并應(yīng)用于以前受信任的應(yīng)用程序。攻擊者可能會上傳自己的更新以分發(fā)并在所有安裝上運行。另一個例子是對象或數(shù)據(jù)被編碼或序列化為攻擊者可以看到和修改的結(jié)構(gòu)，容易受到不安全的反序列化。

 

圖：某證券系統(tǒng)存在反序列化命令執(zhí)行漏洞

 

09 不足的日志記錄和監(jiān)控

“安全日志和監(jiān)控故障”是指當安全日志和監(jiān)控機制未能正確實施或配置時，導致無法有效檢測和響應(yīng)安全事件的風險。這類漏洞可能導致組織無法及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅。

 

圖：網(wǎng)絡(luò)日志的重要性

 

 

10 服務(wù)端請求偽造

 

服務(wù)端請求偽造（Server-Side Request Forgery，SSRF）大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標地址過過濾和限制。攻擊者利用此漏洞可誘使服務(wù)器向內(nèi)部系統(tǒng)或不受信任的系統(tǒng)發(fā)起請求，從而可能泄露敏感信息或執(zhí)行未授權(quán)的操作。

 

圖：某博SSRF漏洞

轉(zhuǎn)自https://www.cnblogs.com/zhuuque23/p/18290630