OWASP TOP10 漏洞 网络安全.docx

OWASPTOP10漏洞

OWASPTOP10漏洞是由开放Web应用程序安全项目（OpenWebApplicationSecurityProject）发布的十大最严重、最普遍的Web应用程序安全漏洞，以下是2021年版的相关介绍：

失效的访问控制

访问控制失效会导致未经授权的信息泄漏、修改等。常见弱点包括绕过存取控制检查，如通过修改URL、内部应用程式状态等；允许主键被更改，可查看或编辑他人账户；特权提升；CORS错误配置等。预防措施有在服务器端执行存取控制机制，默认拒绝存取，强化记录所有权等。

加密机制失效

要涉及静态数据及数据传输的防护。如是否以明文形式传输数据，是否使用老旧或脆弱的加密算法、默认加密密钥，加密密钥是否被写入源代码等。预防需对数据分类，执行对应控制，确保静态敏感数据加密，使用安全协议等。

注入式攻击

不可信的数据作为命令或查询的一部分发送到解释器时可能发生，如SQL、NoSQL、OS命令注入等。可通过预编译语句、参数化查询等防御，对输入数据进行严格验证和过滤。

失效的身份认证

身份验证机制设计或实现有误，攻击者可能冒充合法用户获取未授权访问权限。如通过错误使用身份认证和会话管理功能，破译密码等。防御方法包括使用内置会话管理功能，要求用户使用强密码，避免以纯文本传输用户名和密码等。

安全配置错误

包括未正确配置的设置，如默认账户、未更新的组件、不必要的服务和端口开放等。需定期审计和更新系统配置，关闭不必要的服务和端口，及时更新组件。

用户输入验证失败

使用过时或已知存在漏洞的组件会导致安全问题。需持续进行软件维护和更新，及时修复或替换存在漏洞的组件。

识别和会话管理不足

涉及对用户会话和身份管理的不当处理，可能导致会话劫持和账户接管。应使用现代的、安全的身份验证框架，对会话进行有效管理和保护，如设置合理的会话过期时间等。

软件和数据完整性失效

包括保护机制的缺失，如反篡改、反逆向工程和供应链攻击。可通过使用数字签名和安全的构建环境等提高软件的完整性。

日志记录和监控不足

缺乏有效记录和监控，攻击者能在系统中行动不被发现。需实施全面的日志记录策略和实时监控，及时发现异常行为。

服务器端请求伪造

服务器被诱骗发起未经验证的请求到内部或外部其他服务器。应限制服务器可发起的请求类型和目标，对请求进行严格验证。