owasp十大安全漏洞_OWASP十大漏洞

123456790

owasp十大安全漏洞
    OWASP

      免费试用AppScan Standard
    IBM Security AppScan Standard可帮助您检测和纠正OWASP前10名列表中发现的许多类型的安全问题。 您可以下载AppScan Standard的试用版并自己进行测试。
     开放式Web应用程序安全项目（OWASP）是一个致力于增强Web应用程序安全性的国际组织。 作为其使命的一部分，OWASP赞助了众多与安全相关的项目，其中最受欢迎的十大项目之一。 该项目发布了一份清单，列出了它认为当前全球十大Web应用程序安全风险的清单。 该列表描述了每个漏洞，提供了示例，并提供了有关如何避免此漏洞的建议。 2013年6月正式发布的前10名名单的最新版本更新了2010年名单。 2013年排名前10位的列表基于七家应用程序安全公司的数据，涵盖了数百个组织中的500,000多个漏洞。 OWASP根据其流行程度及其相对可利用性，可检测性和影响力对前十名进行了优先排序。
   为了进一步理解其中的某些漏洞，IBM Security Systems Ethical Hacking团队准备了以下视频。
   ＃1注射

   Warren Moynihan定义了注入，并列举了许多示例。 然后，他提供了一个详细的示例，说明黑客可能如何使用注入技术来获取对受其他保护的数据的访问权限。 最后，他说明了如何使用IBM Security AppScan查找和消除此漏洞。
                                     成绩单       ＃2身份验证和会话管理中断

   身份验证和会话管理中断是最常利用的Web漏洞之一。 Brennan Brazeau解释了非安全凭据实践和不适当的会话管理技术如何使攻击者能够访问Web应用程序。 他还说明了如何使用AppScan识别这些潜在问题。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp2broken-authentication-and-session-transcript.pdf]成绩单       ＃3跨站点脚本

   在此视频中，安全系统的Moynihan描述了黑客如何使用跨站点爬网（XSS）将恶意代码发送到网站。 他演示了用于利用此常见漏洞的技术，并展示了IBM Security AppScan如何在示例网站上搜索和识别XSS漏洞。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp3crosssite-scripting-transcript.pdf]成绩单       ＃4不安全的直接对象引用

   网站通常要求用户提供其应用程序参数的值。 如果未正确审查这些值，则黑客可以使用它们将恶意命令传递给站点。 在这里，乔纳森·菲茨·杰拉德（Jonathan Fitz-Gerald）演示了一种可能的攻击，以及如何使用AppScan识别这种类型的漏洞。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp4indirect-object-reference-transcript.pdf]成绩单       ＃5安全配置错误

   错误配置的Web服务器为黑客提供了滥用网站的机会。 在此视频中，Paul Ionesco展示了攻击者如何不加小心地启用测试或调试功能。 建议将“最低特权”原则作为减轻风险的一种方法，并且显示AppScan在查找示例中是有效的。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp5security-misconfiguration-transcript.pdf]成绩单       ＃6敏感数据公开

   John Zuccato审查了敏感数据泄露漏洞。 传输中未加密的数据可能容易受到攻击者侦听连接的攻击。 例如，存储在服务器上的未加密数据可能会受到SQL注入攻击的威胁。 与其他漏洞一样，AppScan可以帮助发现潜在问题。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp6sensitive-data-exposure-transcript.pdf]成绩单       ＃7缺少功能级别的访问控制

   在这里，Zuccato检查缺少的功能级别访问控制，这种情况发生在无意中允许较低级别访问的用户访问受限于较高级别访问的网站部分时。 选择“隐藏”功能而不是在功能级别上保护其应用程序的管理员可以创建这些漏洞。 您可以使用AppScan的“特权升级”测试来找到它们。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp7missing-function-level-access-transcript.pdf]成绩单       ＃8跨站点伪造

   跨站点请求伪造（CSRF）当前在OWASP的前10名中排名第8，是一个经常利用的漏洞。 跨站点请求伪造是一个Web应用程序漏洞，攻击者可能会在用户登录应用程序时强迫他们在不知不觉中执行操作。 由于这些类型的应用程序中可用的用户信息和操作，攻击者通常使用CSRF攻击来针对云存储，社交媒体，银行和在线购物站点。 在此视频中，IBM Security Systems Ethical Hacking团队的成员介绍了该漏洞，探讨了风险，告诉您如何保护Web应用程序免受攻击，并演示了AppScan Standard如何发现该漏洞。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp8cross-site-request-forgery-transcript.pdf]成绩单       ＃9使用已知漏洞的组件：运行中的Heartbleed和Shellshock

   当前，使用已知漏洞的组件在OWASP的前10名中排名第9。 Heartbleed和Shellshock是这种威胁的最新例子。 应用程序开发人员可以使用大量可重复使用的软件组件。 其中许多组件都是开源的，由自愿捐款开发，并且可以免费获得。 开发人员可以使用这些第三方组件快速构建功能丰富的应用程序。 尽管采用这种方法的好处显而易见，但如果公司使用第三方组件，则需要考虑安全漏洞的成本。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp9using-components-transcript.pdf]成绩单       ＃10未经验证的重定向和转发

   当前，未经验证的重定向和转发在OWASP十大图表中排名第10，是一种经常利用的漏洞类型。 Web应用程序经常将用户重定向并转发到其他页面和网站。 没有适当的验证，攻击者就可以将受害者重定向到恶意站点或使用转发来访问未经授权的页面。
                           [/url]          [url=https://www.ibm.com/developerworks/security/library/se-owasptop10/owasp10unvalidated-redirects-transcript.pdf]成绩单       结论

   这些只是现代Web应用程序所遭受的一些安全漏洞。 但是，通过遵循这些视频中提供的提示和IBM Security Systems的其他帮助，以及使用高级安全软件（例如IBM AppScan），网站管理员可以查找，纠正和避免这些和其他Web安全威胁。
         

---

     翻译自: https://www.ibm.com/developerworks/security/library/se-owasptop10/index.html
  owasp十大安全漏洞

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！