OWASP(The Open Web Application Security Project)是一個提供關于網絡應用安全的無偏見、實用信息的非盈利組織。OWASP十大網絡應用程序安全風險在2017年進行了更新，并向開發人員和安全專業人員提供有關網絡應用程序中常見的最關鍵漏洞的指導。列出的這10類應用風險是危害最大的，可能允許攻擊者植入惡意軟件、竊取數據或完全接管您的計算機或網絡服務器。

應用程序安全影響所有行業的所有組織，但研究發現，不同的OWASP前10個缺陷在不同的行業中更為普遍。各組織應利用這些信息將重點轉移到其特定部門面臨的最緊迫問題上。

下面是10大安全漏洞。

1、Injection 植入

當攻擊者將不可信的數據發送到未經適當授權作為命令執行的解釋器時，會出現植入漏洞，如SQL植入、LDAP植入和CRLF植入。

*應用程序安全測試可以輕松地檢測注入缺陷。開發人員在編碼時應該使用參數化查詢來防止植入缺陷。

2、身份認證和會話管理漏洞

不正確配置的用戶和會話身份驗證可能會使攻擊者泄露密碼、密鑰或會話令牌，或控制用戶的賬戶，以冒充其身份。

*多因素身份驗證，如FIDO或專用應用程序，可降低賬戶受損的風險。

3、敏感數據泄露

當應用程序和API不能正確保護諸如財務數據、用戶名和密碼或健康信息等敏感數據時，攻擊者就可以訪問這些信息進行欺詐或竊取身份。

*對靜態和傳輸中的數據進行加密可以防止敏感數據泄露。

4、XML外部實體

配置不當的XML處理器評估XML文檔中的外部實體引用。攻擊者可以使用外部實體進行攻擊，包括遠程代碼執行，并泄漏內部文件和SMB文件共享。

*靜態應用程序安全測試(SAST)可以通過檢查依賴關系和配置來發現這個問題。

5、訪問控制缺陷

未正確配置或缺少對已驗證用戶的限制，允許他們訪問未經授權的功能或數據，例如訪問其他用戶的帳戶、查看敏感文檔以及修改數據和訪問權限。

*穿透測試對于檢測非功能性訪問控制至關重要；其他測試方法只檢測訪問控制缺失的位置。

6、安全配置錯誤

此風險是指不正確地實施保護應用程序數據安全的控件，例如安全標頭配置錯誤、包含敏感信息的錯誤消息(信息泄漏)，以及未修補或升級系統、框架和組件。

*動態應用程序安全性測試(DAST)可以檢測錯誤配置，例如泄漏的api。

7、跨站點腳本

跨站點腳本(XSS)缺陷使攻擊者能夠將客戶端腳本注入應用程序，例如，將用戶重定向到惡意網站。

*開發人員培訓是對安全測試的補充，幫助程序員使用最佳編碼最佳實踐(如編碼數據和輸入驗證)防止跨站點腳本。

8、不安全的文件操作

文件操作缺陷可使攻擊者遠程執行應用程序中的代碼、篡改或刪除序列化(寫入磁盤)對象、執行植入攻擊和提升權限。

*應用程序安全工具可以檢測這類缺陷，但是經常需要穿透測試來驗證問題。

9、使用不安全的組件

開發人員經常不知道他們的應用程序中有哪些開源和第三方組件，因此當發現新的漏洞時，很難更新組件。攻擊者可以利用不安全的組件來接管服務器或竊取敏感數據。

*與靜態分析同時進行的軟件組合分析可以識別組件的不安全版本。

10、日志記錄和監控不足

發現漏洞的時間通常以幾周或幾個月來衡量。日志記錄不足和與安全事件響應系統的無效集成使攻擊者能夠轉向其他系統并保持持續的威脅。

*像攻擊者一樣思考，使用筆測試來確定是否有足夠的監控；在筆測試之后檢查日志。

#物聯網發展趨勢#

關注@物聯網發展趨勢 研究物聯網發展現狀、分析物聯網發展趨勢

總結

以上是生活随笔為你收集整理的owasp十大漏洞_OWASP十大网络应用安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。