,,

Web 安全：OWASP TOP10 漏洞介紹

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

freeflydom

2024年9月18日 9:52 本文熱度 1713

OWASP TOP 10漏洞是指由Open Web Application Security Project（OWASP）發布的十大最嚴重、

最普遍的Web應用程序安全漏洞。這些漏洞在當今的Web應用程序中非常普遍，而且具有很高的危害性。

因此被視為web應用程序安全領域必須認真防范和修復的關鍵問題。而且大家去應聘安全測試崗位或

有安全技能要求的軟件測試崗位，熟悉OWASP TOP 10漏洞是必備要求。以下對于OWASP TOP 10 逐一介紹。

01 訪問控制失效

訪問控制失效漏洞是指由于程序開發時的缺陷，導致限制未生效，從而產生了失效的訪問控制漏洞。攻擊者可以

利用這些缺陷訪問未經授權的功能或數據，例如：訪問其他用戶的賬戶、查看敏感文件、修改其他用戶的數據、

更改訪問權限等。

圖：某酒店系統越權刪除修改用戶信息漏洞

02 加密機制失效

加密機制失效指的是在Web應用程序中，由于加密措施的不當或缺失，導致敏感數據在傳輸或存儲過程中被泄露或遭受篡改的風險增加。這種漏洞通常與加密算法的選擇、密鑰管理、協議使用等方面的問題相關。

圖：某深圳公司，員工將郵箱密碼等敏感上傳github，導致泄露

03 注入

注入漏洞（Injection）指的是攻擊者通過向應用程序輸入惡意數據，從而實現對應用程序的攻擊和控制。這類漏洞主要是由于應用程序沒有正確地驗證和過濾用戶輸入的數據，導致惡意代碼得以執行。從而進一步數據泄露、數據篡改、系統被控。

圖：某銀行某站存在注入漏洞，導致站點賬號密碼數據泄露

04 不安全設計

不安全設計（Insecure Design）指的是在應用程序設計階段就存在的安全缺陷，這些缺陷可能導致應用程序容易受到攻擊。不安全設計通常與應用程序的架構、功能、數據處理和交互方式等方面有關。包括關鍵身份驗證、訪問控制、業務邏輯等。

圖：某網站存在的支付業務漏洞，可通過篡改金融，1元購買保險。

05 安全配置錯誤

安全配置錯誤通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有操作系統、框架、庫和應用程序等進行安全配置，而且必須及時修補和升級它們。

圖：某通分站服務配置不當可getshell

06 自帶缺陷和過時的組件

自帶缺陷和過時的組件是指Web應用程序中使用的第三方庫、框架、插件或其他軟件組件存在已知的安全漏洞，或者這些組件的版本過于陳舊，不再接收安全更新或修補程序。若被攻擊者利用，可能會造成嚴重的數據丟失和服務器接管。同時，使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。

圖：某寶典使用WebView組件，該組件存在任意代碼執行漏洞

07 身份識別和身份驗證錯誤

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其他開發缺陷來暫時性或永久性冒充其他用戶的身份。

在開發web應用程序時，開發人員往往只關注Web應用程序所需的功能，所以常常會建立自定義的認證和會話方案。但是要正確的實現這些方案卻是很難的。結果就在退出、密碼管理、超時、密碼找回、賬戶更新等方面存在漏洞。

圖：政府某公安系統，密碼使用弱口令，容易被爆破

08 軟件和數據完整性故障

軟件和數據完整性故障與不能防止完整性違規的代碼和基礎設施有關。一個例子是應用程序依賴來自不受信任的來源、存儲庫和內容交付網絡(CDN)的插件、庫或模塊。不安全的CI/CD管道可能會導致未經授權的訪問、惡意代碼或系統受損。最后，許多應用程序現在包括自動更新功能，其中更新在沒有充分完整性驗證的情況下被下載并應用于以前受信任的應用程序。攻擊者可能會上傳自己的更新以分發并在所有安裝上運行。另一個例子是對象或數據被編碼或序列化為攻擊者可以看到和修改的結構，容易受到不安全的反序列化。

圖：某證券系統存在反序列化命令執行漏洞