最新2007年OWASP十大Web资安漏洞 (2007 OWASP Top 10)
2010-02-28 11:16
831 查看
十大Web资安漏洞列表
A1. 跨网站的入侵字串(Cross Site Scripting,简称XSS,亦称為跨站脚本攻击):Web应用程式直接将来自使用者的执行请求送回瀏览器执行,使得攻击者可擷取使用者的Cookie或Session资料而能假冒直接登入為合法使用者。
A2. 注入缺失(Injection Flaw):Web应用程式执行来自外部包括资料库在内的恶意指令,SQL Injection与Command Injection等攻击包括在内。
A3. 恶意档案执行(Malicious File Execution):Web应用程式引入来自外部的恶意档案并执行档案内容。
A4. 不安全的物件参考(Insecure Direct Object Reference):攻击者利用Web应用程式本身的档案读取功能任意存取档案或重要资料,案例包括http://example/read.php?file=../../../../../../../c:/boot.ini。
A5. 跨网站的偽造要求 (Cross-Site Request Forgery,简称CSRF): 已登入Web应用程式的合法使用者执行到恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。
A6. 资讯揭露与不适当错误处置 (Information Leakage and Improper Error Handling):Web应用程式的执行错误讯息包含敏感资料,案例包括:系统档案路径的揭露或资料库栏位名称。
A7. 遭破坏的鑑别与连线管理(Broken Authentication and Session Management):Web应用程式中自行撰写的身分验证相关功能有缺陷。
A8. 不安全的密码储存器 (Insecure Cryptographic Storage):Web应用程式没有对敏感性资料使用加密、使用较弱的加密演算法或将金钥储存於容易被取得之处。
A9. 不安全的通讯(Insecure Communication):传送敏感性资料时并未使用HTTPS或其他加密方式。
A10. 疏於限制URL存取(Failure to Restrict URL Access):某些网页因為没有权限控制,使得攻击者可透过网址直接存取,案例包括允许直接修改Wiki或Blog网页内容。
这次OWASP公布新版Top 10反映出目前的攻击现况,以今年為例,Cross-Site Scripting(XSS)调整為10大攻击之首,真实的反映出目前网路钓鱼与诈欺的攻击滥用XSS的情形,事实上,美国国防部的BSI计画(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究机构的CVE资安脆弱性列表(http://cve.mitre.org/) 亦显示1)Cross Site Scripting与2)SQL Injection已连续两年列為全球头号严重资安弱点.
A1. 跨网站的入侵字串(Cross Site Scripting,简称XSS,亦称為跨站脚本攻击):Web应用程式直接将来自使用者的执行请求送回瀏览器执行,使得攻击者可擷取使用者的Cookie或Session资料而能假冒直接登入為合法使用者。
A2. 注入缺失(Injection Flaw):Web应用程式执行来自外部包括资料库在内的恶意指令,SQL Injection与Command Injection等攻击包括在内。
A3. 恶意档案执行(Malicious File Execution):Web应用程式引入来自外部的恶意档案并执行档案内容。
A4. 不安全的物件参考(Insecure Direct Object Reference):攻击者利用Web应用程式本身的档案读取功能任意存取档案或重要资料,案例包括http://example/read.php?file=../../../../../../../c:/boot.ini。
A5. 跨网站的偽造要求 (Cross-Site Request Forgery,简称CSRF): 已登入Web应用程式的合法使用者执行到恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。
A6. 资讯揭露与不适当错误处置 (Information Leakage and Improper Error Handling):Web应用程式的执行错误讯息包含敏感资料,案例包括:系统档案路径的揭露或资料库栏位名称。
A7. 遭破坏的鑑别与连线管理(Broken Authentication and Session Management):Web应用程式中自行撰写的身分验证相关功能有缺陷。
A8. 不安全的密码储存器 (Insecure Cryptographic Storage):Web应用程式没有对敏感性资料使用加密、使用较弱的加密演算法或将金钥储存於容易被取得之处。
A9. 不安全的通讯(Insecure Communication):传送敏感性资料时并未使用HTTPS或其他加密方式。
A10. 疏於限制URL存取(Failure to Restrict URL Access):某些网页因為没有权限控制,使得攻击者可透过网址直接存取,案例包括允许直接修改Wiki或Blog网页内容。
这次OWASP公布新版Top 10反映出目前的攻击现况,以今年為例,Cross-Site Scripting(XSS)调整為10大攻击之首,真实的反映出目前网路钓鱼与诈欺的攻击滥用XSS的情形,事实上,美国国防部的BSI计画(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究机构的CVE资安脆弱性列表(http://cve.mitre.org/) 亦显示1)Cross Site Scripting与2)SQL Injection已连续两年列為全球头号严重资安弱点.
相关文章推荐
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
- OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
- 最新十大web安全隐患-四年之后_OWASP发布新版本OWASP Top10 2017
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- 最新十大web安全隐患-四年之后,OWASP发布新版本OWASP Top10 2017
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
- ASP.NET Core中的OWASP Top 10 十大风险-SQL注入
- [原创]OWASP TOP TEN 2007 10大Web应用程序安全问题
- 最新的OWASPTop 10 ,查“缺”补“漏”必备神器
- OWASP Top 10 – 2013十大安全隐患
- OWASP Top 10 2010 十大安全隐患
- 最新十大web安全隐患-四年之后,OWASP发布新版本OWASP Top10 2017
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
- 最新十大web安全隐患-四年之后_OWASP发布新版本OWASP Top10 2017
- OWASP 2013年十大Web应用安全漏洞