一、owasp top10是什么

OWASP，開放式Web應(yīng)用程序安全項目（OWASP，Open Web Application Security Project）是一個非營利組織，不附屬于任何企業(yè)或財團(tuán)，它提供有關(guān)計算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實際、有成本效益的信息。其目的是協(xié)助個人、企業(yè)和機(jī)構(gòu)來發(fā)現(xiàn)和使用可信賴軟件。

????????OWASP項目最具權(quán)威的就是其“十大安全漏洞列表”（OWASPTop 10），OWASP Top 10不是官方文檔或標(biāo)準(zhǔn)，而只是一個被廣泛采用的意識文檔，被用來分類網(wǎng)絡(luò)安全漏洞的嚴(yán)重程度，目前被許多漏洞獎勵平臺和企業(yè)安全團(tuán)隊評估錯誤報告。這個列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞，可以幫助IT公司和開發(fā)團(tuán)隊規(guī)范應(yīng)用程序開發(fā)流程和測試流程，提高Web產(chǎn)品的安全性。

二、owasp top10變遷

????????owasp top10每4年更新一次，所以選取了2017和2021年的top10進(jìn)行比較。

????????相較于2017年，失效的訪問控制，加密機(jī)制失效，安全配置錯誤，自帶缺陷和過時的組件，安全日志和監(jiān)控故障的排名上升，而注入，身份識別和身份驗證錯誤排名下降，同時新增了不安全設(shè)計，軟件和數(shù)據(jù)完整性故障，服務(wù)端請求偽造的漏洞。

圖片來自：OWASP—Top10（2021知識總結(jié)）_1erkeU的博客-CSDN博客_owasp top10

三、owasp top10詳解

A01失效的訪問控制（從2017年的第五上升到2021的第一）：

攻擊方式
????????沒有檢查身份，直接導(dǎo)致攻擊者繞過權(quán)限直接訪問
漏洞原因

????????在未對通過身份驗證的用戶，實施恰當(dāng)?shù)脑L問控制。攻擊者可以利用這一漏洞，訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)。
漏洞影響
? ? ? ? 1、繞過路徑，如未讀取的參數(shù)做檢查，導(dǎo)致路徑繞過讀取到敏感文件

????????eg:CVE-2020-5410 (以下示例為vulfocus靶場)

? ? ? ? 2、權(quán)限提升，如未對權(quán)限做檢查，導(dǎo)致攻擊者變更權(quán)限

????????eg:CVE-2021-21389 垂直越權(quán) (詳情可見WordPress BuddyPress 存在越權(quán)漏洞RCE（CVE-2021-21389）_whatever`的博客-CSDN博客，靶場為虛擬機(jī)自主搭建)

?

ps:越權(quán)包括垂直越權(quán)和水平越權(quán)：
????????垂直越權(quán)：攻擊者可以從普通的用戶權(quán)限提升到管理員的權(quán)限訪問應(yīng)用程序
????????水平越權(quán)：攻擊者可以從普通用戶A的權(quán)限提升到普通用戶B的權(quán)限訪問應(yīng)用程序
漏洞防護(hù)
? ? ? ? 1、對參數(shù)的白名單過濾
? ? ? ? 2、對權(quán)限的控制管理重新設(shè)計與限制
? ? ? ? 3、限制下載文件的類型

A02加密機(jī)制失效：

攻擊方式
????????常見的攻擊方式主要是掃描應(yīng)用程序獲取到敏感數(shù)據(jù)
漏洞原因
???????對數(shù)據(jù)加密存在有機(jī)可乘的漏洞(比如弱密碼或者加密后很容易破解)，或者網(wǎng)絡(luò)協(xié)議、算法本身的弱點，如 telent、ftp、md5 等
漏洞影響

? ? ? ? 1、應(yīng)用程序、網(wǎng)站被修改
? ? ? ? 2、個人資料、公司資料泄露，被用于售賣獲利等

漏洞防護(hù)

????????1、對應(yīng)用程序處理、存儲或者傳輸?shù)臄?shù)據(jù)分類，并根據(jù)相關(guān)要求確認(rèn)哪些數(shù)據(jù)敏感

? ? ? ? 2、對于沒有必要存儲的敏感數(shù)據(jù)，應(yīng)當(dāng)盡快清除

????????3、確保加密存儲所有的敏感數(shù)據(jù)

? ? ? ? 4、確保使用了最新的，強(qiáng)大的標(biāo)準(zhǔn)算法、協(xié)議和密鑰，并且密鑰管理到位

? ? ? ? 5、禁用緩存對包含敏感數(shù)據(jù)的響應(yīng)

? ? ? ? 6、不要使用傳統(tǒng)協(xié)議HTTP、FTP等來傳輸敏感數(shù)據(jù)

A03注入：

攻擊方式

???????惡意代碼的輸入攻擊者到應(yīng)用程序迫使其執(zhí)行命令妥協(xié)數(shù)據(jù)或整個應(yīng)用程序。最常見的注入攻擊類型是 SQL 注入和XSS，但也有代碼注入，命令注入、CSS注入等。???????。
漏洞原因
? ? ? 注?可以導(dǎo)致數(shù)據(jù)丟失或被破壞，缺乏可審計性或拒絕服務(wù)。注?漏洞有時甚?可導(dǎo)致攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當(dāng)授權(quán)的情況下執(zhí)行非預(yù) 期命令或訪問數(shù)據(jù)
漏洞影響

? ? ? 注?可以導(dǎo)致數(shù)據(jù)丟失或被破壞，缺乏可審計性或拒絕服務(wù)。注?漏洞有時甚?可導(dǎo)致完全接管主機(jī)。

漏洞防護(hù)

????????防止注入需要將數(shù)據(jù)與命令和查詢分開：

????????1、推薦的選擇是使用安全的API

????????2、使用肯定或者白名單服務(wù)器端輸入驗證

????????3、對于任何殘余的動態(tài)查詢，使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符

????????4、在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入的情況下大量披露記錄

A04不安全設(shè)計

攻擊方式

???????2021 年的新類別側(cè)重于與設(shè)計和架構(gòu)缺陷相關(guān)的風(fēng)險，并呼吁更多地使?威脅建模、安全設(shè)計模式和參考架構(gòu)。主要包括：未受保護(hù)的憑證存儲，信任邊界違規(guī)，受保護(hù)的憑證不足。
漏洞原因
? ? ??不安全設(shè)計是?個?泛的類別，代表許多不同的弱點，表現(xiàn)為“缺失或?效的控制設(shè)計”。缺少不安全的設(shè)計是缺少控制的地?。
漏洞影響

????????廣泛

漏洞防護(hù)

????????1、與 AppSec 專業(yè)?員建?并使?安全的開發(fā)?命周期，以幫助評估和設(shè)計與安全和隱私相關(guān)的控制
????????2、建?和使?安全設(shè)計模式庫或準(zhǔn)備使?組件的鋪好的道路
????????3、將威脅建模?于關(guān)鍵?份驗證、訪問控制、業(yè)務(wù)邏輯和關(guān)鍵流
????????4、編寫單元和集成測試以驗證所有關(guān)鍵流都能抵抗威脅模型
?

A05安全配置錯誤

攻擊方式

????????攻擊者利用錯誤配置攻擊，獲取敏感數(shù)據(jù)或者提升權(quán)限???????
漏洞原因

????????開發(fā)或者維護(hù)人員設(shè)置了錯誤的配置
漏洞影響

在應(yīng)用程序堆棧的任何部分缺少適當(dāng)?shù)陌踩珡?qiáng)化或?qū)υ品?wù)的權(quán)限配置不正確(eg:python 開發(fā)中對于 Django 框架在生產(chǎn)環(huán)境啟用了 Debug 模式)。

啟用或安裝了不必要的功能（例如，不必要的端口、服務(wù)、頁面、帳戶或權(quán)限）。

默認(rèn)帳戶及其密碼仍處于啟用狀態(tài)且未更改。

錯誤處理向用戶顯示堆棧跟蹤或其他信息過多的錯誤消息。

對于升級的系統(tǒng)，最新的安全功能被禁用或未安全配置。

應(yīng)用程序服務(wù)器、應(yīng)用程序框架（例如，Struts、Spring、ASP.NET）、庫、數(shù)據(jù)庫等中的安全設(shè)置未設(shè)置為安全值。

服務(wù)器不發(fā)送安全標(biāo)頭或指令，或者它們未設(shè)置為安全值。

軟件已過時或易受攻擊（請參閱 A06:2021-易受攻擊和過時的組件）

漏洞防護(hù)????????

? ? ? ?1、可重復(fù)的強(qiáng)化過程使部署另?個適當(dāng)鎖定的環(huán)境變得快速?輕松。開發(fā)、QA 和?產(chǎn)環(huán)境都應(yīng)配置相同，在每個環(huán)境中使?不同的憑據(jù)。這個過程應(yīng)該是?動化的，以最?限度地
減少設(shè)置新安全環(huán)境所需的?作。

? ? ? ? 2、?個沒有任何不必要的功能、組件、?檔和?例的最?平臺。刪除或不安裝未使?的功能和框架。

? ? ? ? 3、作為補(bǔ)丁管理流程的?部分，審查和更新適?于所有安全說明、更新和補(bǔ)丁的配置的任務(wù)（請參閱 A06:2021-易受攻擊和過時的組件）。查看云存儲權(quán)限（例如，S3 存儲桶權(quán)
限）。

? ? ? ? 3、分段應(yīng)?程序架構(gòu)通過分段、容器化或云安全組 (ACL) 在組件或租戶之間提供有效且安全的分離。? ? ? ?

? ? ? ? 4、向客戶端發(fā)送安全指令，例如安全標(biāo)頭

? ? ? ? 5、驗證配置和設(shè)置在所有環(huán)境中的有效性的?動化過程

A06自帶缺陷和過時的組件

攻擊方式

? ? ? ?利用應(yīng)用程序技術(shù)棧中的框架、庫、工具等的已知漏洞進(jìn)行攻擊，獲取高權(quán)限或者敏感數(shù)據(jù)???????
漏洞原因
? ? ??應(yīng)用程序技術(shù)棧中使用的框架、庫、工具爆出了漏洞，應(yīng)用程序未能及時更新與修復(fù)
漏洞影響

? ? ? ? 1、敏感數(shù)據(jù)泄露
????????2、提升權(quán)限
? ? ? ? 3、遠(yuǎn)程代碼執(zhí)行

漏洞防護(hù)????????

? ? ? ? 1、及時更新、修復(fù)組件漏洞
? ? ? ? 2、移除不再使用的依賴組件

A07身份識別和身份驗證錯誤

攻擊方式

? ? ? 攻擊者利用網(wǎng)站應(yīng)用程序中的身份認(rèn)證缺陷獲取高權(quán)限并進(jìn)行攻擊應(yīng)用服務(wù)???????
漏洞原因
? ? ??應(yīng)用程序身份認(rèn)證系統(tǒng)認(rèn)證缺陷
漏洞影響

允許自動攻擊，例如撞庫，其中攻擊者擁有有效用戶名和密碼的列表。

允許蠻力或其他自動攻擊。

允許使用默認(rèn)密碼、弱密碼或眾所周知的密碼，例如“Password1”或“admin/admin”。

使用弱或無效的憑據(jù)恢復(fù)和忘記密碼流程，例如無法確保安全的“基于知識的答案”。

使用純文本、加密或弱散列密碼（請參閱 A3:2017-敏感數(shù)據(jù)泄露）。

缺少或無效的多因素身份驗證。

在 URL 中公開會話 ID（例如，URL 重寫）。

成功登錄后不要輪換會話 ID。

不會正確地使會話 ID 無效。用戶會話或身份驗證令牌（主要是單點登錄 (SSO) 令牌）在注銷或一段時間不活動期間未正確失效

漏洞防護(hù)???? ? ? ?

? ? ? ? 1、要使?任何默認(rèn)憑據(jù)進(jìn)?交付或部署，尤其是對于管理員?戶。
????????2、實施弱密碼檢查，例如針對前 10,000 個最差密碼列表測試新密碼或更改的密碼。
????????3、將密碼長度、復(fù)雜性和輪換策略與 NIST 800-63b 的第 5.1.1 節(jié)中關(guān)于記憶秘密的指南或其他現(xiàn)代的、基于證據(jù)的密碼策略保持?致。
? ? ? ? 4、通過對所有結(jié)果使?相同的消息，確保注冊、憑據(jù)恢復(fù)和 API 路徑能夠抵御帳戶枚舉攻擊。
????????5、限制或增加延遲失敗的登錄嘗試。當(dāng)檢測到憑證填充、暴?破解或其他攻擊時，記錄所有故障并提醒管理員。
? ? ? ? 6、使?服務(wù)器端、安全、內(nèi)置的會話管理器，在登錄后?成新的?熵隨機(jī)會話 ID。會話 ID 不應(yīng)在 URL 中，安全存儲，并在注銷、空閑和絕對超時后失效。

A08軟件和數(shù)據(jù)完整性故障

攻擊方式

? ? ? ?在不驗證完整性的情況下做出與軟件更新、關(guān)鍵數(shù)據(jù)和CI/CD管道相關(guān)的假設(shè)。???????
漏洞原因
? ? ? ?在對象或數(shù)據(jù)被編碼或序列化為攻擊者可以看到和修改的結(jié)構(gòu)的情況下，很容易受到不安全的反序列化的影響。另?種形式是應(yīng)?程序依賴來?不受信任的來源、存儲庫和內(nèi)容交付?絡(luò) (CDN) 的插件、庫或模塊。不安全的 CI/CD 管道可能會導(dǎo)致未經(jīng)授權(quán)的訪問、惡意代碼或系統(tǒng)受損。許多應(yīng)?程序現(xiàn)在包括?動更新功能，其中更新在沒有充分完整性驗證的情況下被下載并應(yīng)?于以前受信任的應(yīng)?程序。攻擊者可能會上傳??的更新以分發(fā)并在所有安裝上運(yùn)?。

漏洞影響

? ? ? ? 1、序列化，反序列化漏洞

? ? ? ? eg:Fastjson1.2.47和1.2.24 反序列化漏洞（Fastjson命令執(zhí)行漏洞復(fù)現(xiàn)（1.2.47和1.2.24）_whatever`的博客-CSDN博客）

? ? ? ? 2、?需簽名即可更新

? ? ? ? eg:許多家?路由器、機(jī)頂盒、設(shè)備固件和其他固件不通過簽名固件驗證更新。未簽名固件是攻擊者越來越多的?標(biāo)，預(yù)計只會變得更糟。這是?個主要問題，因為很多時候除了在未來版本中修復(fù)并等待以前的版本過時之外，沒有任何補(bǔ)救機(jī)制。

? ? ? ? 3、惡意更新

? ? ? ? eg:眾所周知，國家會攻擊更新機(jī)制，最近的?次著名攻擊是 SolarWinds Orion 攻擊。開發(fā)該軟件的公司擁有安全的構(gòu)建和更新完整性流程。該公司向 18,000 多個組織分發(fā)了?個?度針對性的惡意更新，其中?約 100 個組織受到了影響。這是歷史上此類性質(zhì)最深遠(yuǎn)、最重?的違規(guī)?為之?。

漏洞防護(hù)??

????????1、確保未簽名或未加密的序列化數(shù)據(jù)不會在沒有某種形式的完整性檢查或數(shù)字簽名的情況下? ? ? ? ? 2、發(fā)送到不受信任的客戶端，以檢測序列化數(shù)據(jù)的篡改或重放
? ? ? ? 3、通過簽名或類似機(jī)制驗證軟件或數(shù)據(jù)來?預(yù)期來源
? ? ? ? 4、確保庫和依賴項（例如 npm 或 Maven）使?受信任的存儲庫
? ? ? ? 5、確保使?軟件供應(yīng)鏈安全?具（例如 OWASP Dependency Check 或 OWASP CycloneDX）來驗證組件不包含已知漏洞
????????6、確保您的 CI/CD 管道具有正確的配置和訪問控制，以確保流經(jīng)構(gòu)建和部署過程的代碼的完整性。

A09安全日志記錄和監(jiān)控失敗：

攻擊方式

? ? ? 對于日志記錄的監(jiān)控不足，造成攻擊者攻擊系統(tǒng)、應(yīng)用、盜取數(shù)據(jù)等操作無法被發(fā)現(xiàn)和追查。???????
漏洞原因
? ? ? ?運(yùn)維或者開發(fā)人員并未進(jìn)行足夠的日志記錄，或者日志記錄被惡意刪除
漏洞影響

不記錄可審計的事件，例如登錄、失敗登錄和高價值交易。

警告和錯誤不會生成、不充分或不清楚的日志消息。

不會監(jiān)控應(yīng)用程序和 API 的日志是否存在可疑活動。

日志僅存儲在本地。

適當(dāng)?shù)木瘓箝撝岛晚憫?yīng)升級流程沒有到位或有效。

DAST 工具（例如 OWASP ZAP）的滲透測試和掃描不會觸發(fā)警報。

應(yīng)用程序無法實時或接近實時地檢測、升級或警告主動攻擊

? ? ? ? eg:?家主要的歐洲航空公司遭遇了 GDPR 可報告的違規(guī)?為。據(jù)報道，該漏洞是由攻擊者利?的?付應(yīng)?程序安全漏洞引起的，他們收集了超過 400,000 條客戶?付記錄。該航空公司因此被隱私監(jiān)管機(jī)構(gòu)罰款 2000 萬英鎊。

漏洞防護(hù)??

? ? ? ? 1、啟用日志監(jiān)控、告警機(jī)制
? ? ? ? 2、啟用異地監(jiān)控，C/S架構(gòu)的監(jiān)制機(jī)制

????????3、確保以?志管理解決?案可以輕松使?的格式?成?志
? ? ? ? 4、確保?志數(shù)據(jù)編碼正確，以防?對?志或監(jiān)控系統(tǒng)的注?或攻擊。
? ? ? ? 5、確保?價值交易具有帶有完整性控制的審計跟蹤，以防?篡改或刪除，例如僅追加數(shù)據(jù)庫表或類似的。

? ? ? ? 6、盡可能的完整記錄所有日志

A10服務(wù)器端請求偽造 (SSRF) 概述：

攻擊方式

? ? ? 對于日志記錄的監(jiān)控不足，造成攻擊者攻擊系統(tǒng)、應(yīng)用、盜取數(shù)據(jù)等操作無法被發(fā)現(xiàn)和追查。???????
漏洞原因
? ? ? ?由于服務(wù)端提供了從其他服務(wù)器獲取數(shù)據(jù)的功能但沒有對目標(biāo)地址做過濾與限制。攻擊者可以利用改漏洞獲取內(nèi)部系統(tǒng)的一些信息（因為它是由服務(wù)端發(fā)起的，所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)網(wǎng)系統(tǒng)。即使是在有防火墻，VPN獲其他類型的網(wǎng)絡(luò)訪問控制列表保護(hù)的情況下）。
漏洞影響

? ? ? ? 1、對外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描（如果?絡(luò)架構(gòu)是未分段的，攻擊者可以繪制內(nèi)部?絡(luò)，并根據(jù)連接結(jié)果或連接或拒絕 SSRF 負(fù)載連接所?的時間來確定內(nèi)部服務(wù)器上的端?是打開還是關(guān)閉。）

? ? ? ? 2、向內(nèi)部任意主機(jī)的任意端口發(fā)送payload來攻擊內(nèi)網(wǎng)服務(wù)

? ? ? ? 3、DOS攻擊（請求大文件，始終保持連接Keep-Alive Always）

? ? ? ? 4、攻擊內(nèi)網(wǎng)的web應(yīng)用，如直接SQL注入、XSS攻擊等

? ? ? ? 5、利用file、gopher、dict協(xié)議讀取本地文件、執(zhí)行命令等

? ? ? ? 6、可以無視網(wǎng)站CDN

? ? ? ? 7、遠(yuǎn)程代碼執(zhí)? (RCE) 。

????????eg:CVE-2021-21287(vulfocus靶場，詳情MiniO未授權(quán)SSRF漏洞（CVE-2021-21287）_whatever`的博客-CSDN博客)

????????修改host頭為vps地址；借用vps起一個nc服務(wù)，監(jiān)聽811端口，即可獲取到該主機(jī)的權(quán)限。

?

漏洞防護(hù)??

????????1、禁止跳轉(zhuǎn)

????????2、禁用除http和https外的協(xié)議，如：file://、gopher://、dict://等。

????????3、限制請求的端口為http常用的端口，如 80、443、8080。

????????4、統(tǒng)一錯誤信息，避免用戶可以根據(jù)錯誤信息來判斷遠(yuǎn)程服務(wù)器的端口狀態(tài)。

????????5、對請求地址設(shè)置白名單或者限制內(nèi)網(wǎng)IP，以防止對內(nèi)網(wǎng)進(jìn)行攻擊。

? ? ? ?6、 強(qiáng)制執(zhí)?“默認(rèn)拒絕”防?墻策略或?絡(luò)訪問控制規(guī)則，以阻?除基本 Intranet 流量之外的所有流量

? ? ? ? 7、清理和驗證所有客戶端提供的輸?數(shù)據(jù)
? ? ? ? 8、不要向客戶端發(fā)送原始響應(yīng)
? ? ? ? 9、注意 URL ?致性，以避免 DNS 重新綁定和“檢查時間、使?時間”(TOCTOU) 競爭條件等攻擊。
????????10、不要通過使?拒絕列表或正則表達(dá)式來緩解 SSRF。攻擊者擁有有效負(fù)載列表、?具和技能來繞過拒絕列表。

參考文獻(xiàn)：

【OWASPTOP10】2021年常見web安全漏洞TOP10排行 - 百度文庫

SSRF漏洞原理解析_未完成的歌~的博客-CSDN博客_ssrf漏洞原理

owasp top10 | 十大常見漏洞詳解 - 知乎

總結(jié)

以上是生活随笔為你收集整理的web漏洞类型概述（owasp top10笔记）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。