OWASP top 10漏洞详解 十大最危险的银行

一、写在前边

  临近毕业，最近在找实习单位，看到好多招聘要求熟悉owasp top 10 安全漏洞，于是在经过一番查资料，终于有了大致的了解，为了加深印象，特意通过博客记录一下，也希望为有同样需求的同学提供一个参考，不足之处还请各位指出。

二、介绍

  OWASP:开放式Web应用程序安全项目(Open Web Application Security Project)，OWASP是一家国际性组织机构，并且是一个开放的、非盈利组织，它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识，不过OWASP每四年发布一次，现在最新的OWASP是2017年的，在2023年会更新最新的OWASP top 10。

三、漏洞详解 1、注入 （1）注入的概念

 注入通常是指：将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。

（2）注入的分类

 通常注入有sql注入和os（Operating System）注入

SQL注入：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。 sql注入的防御    1：对输入进行严格的转义和过滤。    2：数据类型进行严格定义，数据长度进行严格规定。    3：通过waf设备启用防止sql注入的策略。    4：严格限制网站访问数据库的权限。 os注入：Web开发所使用的编程语言中，大多数都能通过Shell执行OS（操作系统）命令。通过Shell执行OS命令时，或者开发中用到的某个方法其内部利用了Shell时，就有可能出现OS命令被任意执行的情况。这种现象被称为OS命令注入。 os注入的防御    1：使用安全的函数对传递给OS命令参数进行转义。    2：不将外界输入的字符串传递给命令行参数。    3：选择不调用OS命令的实现方法。

不调用利用shell的功能，既能杜绝了OS命令注入漏 洞混入的可能性，又消除了调用OS命令的而系统开销，能够从多方面提高应用的性能。

2、敏感数据泄露 （1）介绍

 近年来，敏感数据泄露已经成为了一最常见、最具影响力的攻击，一般我们的敏感信息包括密码、财务数据、医疗数据等，由于web应用或者API未加密或不正确的保护敏感数据，这些数据极易遭到攻击者利用，攻击者可能使用这些数据来进行一些犯罪行为，因此，未加密的信息极易遭到破坏和利用，不久前就爆出过Facebook泄露了用户的大量信息，以及12306也多次泄露用户的信息。现在信息泄露已经成为了owasp top 10中排名前三的漏洞之一，可想而知敏感信息泄露现在已经成为十分严重的问题。

（2）防御

1：对系统处理、存储或传输的数据分类，并根据分类进行访问控制。 2：对重要数据进行加密存放，数据在传输过程中使用密文进行传输。 3：及时清理没有用的敏感数据，只能使用指定用户访问敏感数据。

3、失效的身份认证 （1）介绍

 通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者暂时或永久的冒充其他用户的身份。

身份认证:身份认证最常用于系统登录，形式一般为用户名加密码的登录方式，在安全性要求较高的情况下，还有验证码、客户端证书、Ukey等。 会话管理:HTTP利用会话机制来实现身份认证，HTTP身份认证的结果往往是获得一个令牌并放在cookie中，之后的身份识别只需读取授权令牌，如果授权令牌认证成功，那么就无需再次进行登录认证。

（2）防御

防御失效身份和会话管理的方法 1：区分公共区域和受限区域:站点的公共区域允许匿名用户访问，但是站点的受限区域只允许指定用户访问。 2：支持密码的有效期:向用户提供可以在一段时间后修改密码的功能。 3：能够禁用账户:在收到攻击后可以禁用账户来避免遭受进一步的损失。 4：要求用户使用强密码。 5：不要在网络上以纯文本方式传输用户名和密码:使用SSL对数据流进行加密，也可以对cookie进行加密。

4、跨站脚本（xss） （1）介绍

 跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表CSS(Cascading Style Sheets)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！

（2）分类

 XSS分为三类:反射型XSS、存储型XSS、DOM型XSS

（3）原理

 存储型XSS：存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie。  反射型XSS：非持久化，需要欺骗用户自己去点击