OWASP Top 10 2017(RC1)中文版
責編:mhshi |2017-04-18 17:31:462017年4月10日,OWASP組織對外發布了“ReleaseCandidate”版本的《OWASP Top 10 2017》文檔,OWASP中國根據OWASP組織發布的消息,組織發布《OWASP Top10 2017 RC1》中文版。
什么是《OWASP Top 10》?
《OWASP Top 10》提供了10類最嚴重的Web應用程序安全風險。對于每類風險,提供了以下信息:
- 對風險的描述。
- 漏洞樣例
- 攻擊案例
- 對漏洞防止的指導
- 來自OWASP組織和其它來源的參考資源
OWASP Top 10中文翻譯項目組
項目組組長:王頡、包悅忠
翻譯人員:顧凌志、王厚奎、王文君、吳楠、夏玉明、楊天識、袁明坤、張鎮(排名按姓氏拼音排列)
審查人員:Rip、夏天澤
說明:本版本已對2013年中文版《OWASP Top 10》中翻譯不準確的內容進行修正。翻譯水平有限,歡迎指正。
意見反饋
OWASP中國區會員或會員單位有反饋意見,可直接將反饋信息發送至:OWASP-TopTen@lists.owasp.org,或發送至OWASP中國分部:project@owasp.org.cn,并由OWASP中國分部代為反饋。
2017 RC1版Top 10風險
A1—注入
注入攻擊漏洞,例如:SQL、OS 以及 LDAP注入。這些攻擊發生在當不可信的數據作為命令或者查詢語句的一部分,被發送給解釋器的時候。攻擊者發送的惡意數據可以欺騙解釋器,以執行計劃外的命令或者在未被恰當授權時訪問數據。
A2—失效的身份認證和會話管理
與身份認證和會話管理相關的應用程序功能往往得不到正確的實現,這就導致了攻擊者破壞密碼、密匙、會話令牌或攻擊其他的漏洞去冒充其他用戶的身份(臨時性的或永久性的)。
A3—跨站腳本(XSS)
當應用程序收到含有不可信的數據,在沒有進行適當的驗證和轉義的情況下,就將它發送給一個網頁瀏覽器,這就會產生跨站腳本攻擊(簡稱XSS)。XSS允許攻擊者在受害者的瀏覽器上執行腳本,從而劫持用戶會話、危害網站、或者將用戶轉向至惡意網站。
A4—失效的訪問控制
對已通過身份驗證用戶的運行限制,沒有得到恰當的強制執行。攻擊者可以利用這些缺陷訪問未經授權的功能和/或數據, 例如:訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問權限等。
A5—安全配置錯誤
好的安全需要對應用程序、框架、應用程序服務器、web服務器、數據庫服務器和平臺定義和執行安全配置。由于許多設置的默認值并不是安全的,因此,必須定義、實施和維護這些設置。這包含了對所有的軟件保持及時地更新,包括所有應用程序的庫文件。
A6—敏感信息泄漏
許多Web應用程序沒有正確保護敏感數據,如信用卡,稅務ID和身份驗證憑據。攻擊者可能會竊取或篡改這些弱保護的數據以進行信用卡詐騙、身份竊取,或其他犯罪。敏感數據值需額外的保護,比如在存放或在傳輸過程中的加密,以及在與瀏覽器交換時進行特殊的預防措施。
A7—攻擊檢測與防護不足
大多數應用程序和API都缺乏檢測、防止和響應手動和自動攻擊的基本能力。攻擊防護遠遠超出了基本的輸入驗證,并涉及到自動檢測、記錄、響應,甚至阻止漏洞的利用企圖。應用程序所有者還需能夠快速部署修補程序以防止攻擊。
A8—跨站請求偽造(CSRF)
一個跨站請求偽造攻擊迫使用戶已登錄的瀏覽器將偽造的HTTP請求(包括該用戶的會話cookie和其他認證信息)發送到一個存在漏洞的web應用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應用程序發送請求,而這些請求會被應用程序認為是用戶的合法請求。
A9—使用含有已知漏洞的組件
組件,比如:庫文件、框架和其它軟件模塊,幾乎總是以全部的權限運行。如果一個帶有漏洞的組件被利用,這種攻擊可以造成更為嚴重的數據丟失或服務器接管。應用程序使用帶有已知漏洞的組件會破壞應用程序防御系統,并使一系列可能的攻擊和影響成為可能。
A10—未受到充分保護的API
現代應用程序通常涉及富客戶端的應用程序和API,如:在瀏覽器和移動應用程序中的JavaScript,它們連接到某種API(如:SOAP/XML、REST/JSON、RPC、GWT等)。這些API通常是沒有保護的, 并且包含大量漏洞。
報告全文下載:http://www.owasp.org.cn/owasp-project/OWASPTop102017RC1V1.0.pdf