十大应用安全威胁

最新推荐文章于 2025-11-06 09:48:09 发布
原创 最新推荐文章于 2025-11-06 09:48:09 发布 · 3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

本文详细介绍了OWASP(开放式网络应用安全项目)2013年发布的十大应用安全威胁,包括注入、失效的身份认证和会话管理、XSS攻击等,并提供了风险评估标准和防御措施。通过风险=可能性*影响的公式,强调了每个威胁的严重性,还涵盖了如何防止SQL注入、密码策略、XSS防护和敏感信息泄露等关键点。

常见应用安全威胁(OWASP TOP 10) 2013

  1. 注入
  2. 失效的身份认证和会话管理
  3. 跨站脚本攻击(XSS)
  4. 不安全的直接对象引用
  5. 安全配置错误
  6. 敏感信息泄露
  7. 功能级访问控制缺失
  8. 跨站请求伪造(CSRF)
  9. 使用含有已知漏洞的组件
  10. 未验证的重定向和转发

风险评估标准

在这里插入图片描述
风险 = 可能性 * 影响
颜色越深,说明越容易发生,影响越大

1. 注入

SQL注入就是将表单中的数据提交到应用程序后台,从而影响预定义的SQL命令执行
一个成功的SQL注入会导致下列结果

  • 从数据库读取敏感信息
  • 修改数据库的内容
  • 执行数据库的一些administration操作 1
  • 执行OS命令2

例子: username= " " 输入 or1=1or1= 这就是一个恒真命令

什么是注入: 用户的输入进入解释器
影响:

  • CRUD数据
  • 拖库
  • OS命令
黑名单方法

最容易但同时也是最不牢靠

白名单方法

只接受我定义过的值

初级防御
  • 参数化查询
  • 存储过程
  • 输入转义
额外防御
  • 最小特权
  • 白名单
2. 失效的身份认证和会话管理
 1. 验证  ----你是谁?
 2.    授权	----你能做什么?
  • 密码 → 密码短语
  • 令牌 →ATM卡
  • 指纹 →生物特征
会话之Cookie管理
  • Path -受限
  • Domain -空值
  • secure
  • httponly
  • expires
密码策略
  • 最小长度
  • 必须包含大小写
  • 必须包含数字
  • 必须包含特殊字符
  • 密码过期
  • 密码恢复(即找回密码)
防止暴力破解
  • 锁定账户 -----超出给定的次数的登录失败而锁定账户
  • CAPTCHA ------阻止机器进行登录尝试
3. XSS(跨站攻击)

反射式: Pay load注入到session/request中
存储式: Pay load保存在数据库中
基于DOM: Pay load直接在客户端执行

XSS能干嘛?

  • 盗取会话Cookie
  • 修改当前网站的内容
  • 执行有害的JavaScript代码
  • DoS/DDoS攻击
  • 钓鱼
  • 组件僵尸网络(BEEF)
    如何应对XSS
  • 白名单 输入验证型
  • ESAPI 输出编码型
4. 不安全的直接对象引用

当开发者把一个内部引用暴露出来的时候,比如:文件名,文件路径,数据库主键,URL或表单参数,攻击者可以操纵这些引用来访问他本来没有权限访问的资源,从而造成越权访问
应对

如果可能的话,尽量不要暴露内部的直接对象应用
使用难以预测的Key,如GUID
使用哈希令牌增加完整性校验
最后,在服务器端进权限检测

5. 安全配置错误

常犯的错误:

产品环境没有更改初始密码
没有加固操作系统/数据库/应用服务器/Web服务器等

影响:

后门
非授权访问数据

系统加固

安全基线

漏洞扫描

扫描工具(Nessus)

6. 敏感信息泄露

常犯的错误:

存储时
传输时

影响:

敏感/私人信息泄露
客户生气(信誉降低)

架构设计

哪些时敏感数据

采取保护

文件,数据库(字段)加密

标准化

使用已有的加密算法
密钥管理系统

该怎么做
采取保护

  • SSL/TLS
  • HSTS
  • Key pinning

正确使用

  • TLS1.1,1.2 ,不要使用SSL3 TLS1.0
  • 保护证书
  • 验证证书
7. 功能级访问控制缺失

常犯的错误:

显示你能看到的菜单
客户端控制

影响:

越权访问

该怎么做
服务器端控制

  • 永远在服务器端进行服务控制,而不是客户端
  • 权限检测应该应用到的所有的层

数据权限控制

  • 基于角色的访问(RBAC)
  • 权限控制列表(ACL)
8. 跨站请求伪造(CSRF)

什么是跨站请求伪造

  • 在浏览器中执行了不想执行的动作
  • SessionID attached to request

影响

  • 执行敏感操作
  • 访问敏感数据

该怎么做
随机令牌

  • 表单
  • Ajax的Request header

多次验证

9. 使用已知含有漏洞的组件

开源软件安全现状分析1
开源软件安全现状分析2

常犯的错误:

开发者只关注自己开发的代码
不甚关心使用的第三方代码安全

影响:

漏洞继承
Exploit-db5

该怎么做
自动升级

自动检测最新版本

被动通知

10. 未验证的重定向和转发

常犯的错误:

重定向和灵活
未对目标URL进行校验

影响:

钓鱼
敏感信息泄露

该怎么做
验证目标网站

站内?站外?
白名单 --站外
相对路径 --站内
目标URL 的权限

  1. 数据管理操作 ↩︎

  2. 应用程序有时需要调用一些执行系统命令的函数,如PHP中的SYSTEM,EXEC,SHELL_EXEC,POPEN,PROC_POPEN等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞(OS注入) ↩︎

  3. 数据密钥 (简称DEK),它将数据进行加密,并作为该信息完整性检查的依据 ↩︎

  4. 密钥加密密钥 ↩︎

  5. 一个网站 ↩︎

Web应用安全攻防战:识别十大威胁,掌握防护要点
网络安全
03-30 2353
Web应用安全攻防战:识别十大威胁,掌握防护要点
5大Web应用安全威胁与7大防护措施
ksy_com的博客
07-02 962
由于极其容易出现漏洞、并引发安全事故,因此数据隐私的保护是目前绝大多数企业不可绕过的运维环节。不过,许多中小型企业往往会错误地认为只有大型企业才会成为黑客的目标。而实际统计数字却截然不同:有43%的网络犯罪恰恰是针对小型企业的。而且,无论是系统陈旧且未给漏洞打上安全补丁,还是各种恶意软件,甚至是一些人为的错误,都可以成为系统的受攻击面。 如果仔细观察当前的网络威胁态势,您可能会惊讶地发现,90%的Web应用都可能成为攻击者的潜在目标。因此,为了让应用程序和数据资产免受威胁,各大在线社区(例如OWAS
应用与数据安全防护全解析
最新发布
zhglhy的专栏
11-06 742
网络安全防护体系由应用安全、数据安全和安全防护工具三要素构成。应用安全强调开发过程的安全管控,包括代码安全、设计安全和配置安全等;数据安全聚焦全生命周期保护,涵盖加密、访问控制和备份恢复等;安全防护工具则提供具体技术手段,如SAST、WAF和DLP等。三者形成有机整体:应用安全是基础,数据安全是核心目标,安全工具是实现手段。现代安全实践建议采取"安全左移"、零信任架构和纵深防御等策略,构建自动化智能化的防护体系。
软件安全威胁
m0_64144988的博客
04-20 884
软件漏洞有时是作者日后检查的时候发现的,然后修正;还有一些人专门找别人的漏洞以从中做些非法的事,当作者知道自己的漏洞被他人利用的时候就会想办法补救。恶意代码(Malicious Code)是指没有作用却会带来危的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。、软件侵权的界定是:如果行为人有未经软件著作权人许可,发表或者登记其软件的行为,或者有未经许可改、翻译其软件等其他侵犯软件著作权的行为的,属于软件侵权。
Web 应用程序安全威胁--学习笔记
Sara_2007的专栏
12-03 1045
来自微软网站:http://msdn2.microsoft.com/zh-cn/library/ft0y04t6(VS.80).aspx 。 Microsoft 已经开发了一种对威胁进行分类的方法:电子欺骗、窜改、否认、信息泄露、拒绝服务和特权升级 (STRIDE)。1.“电子欺骗”是指以未经授权的方式模拟用户或进程。不将密码或其他敏感信息保存在 Cookie 中,因为恶意用户可以轻松地在
web应用安全的威胁类型和应对方案
JPshangdexiaofeixia的博客
08-15 3172
目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这几类攻击都已经形成了比较成熟的防御措施。 注入漏洞涉及的内容非常广泛,涵盖了各种语言环境和众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本...
2.5 应用层的安全威胁
The 44th Demilitarized Zone
11-22 8090
应用层安全的解决目前往往依赖于网络层、操作系统等……由于应用系统多样复杂,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但是对于一些通用的应用程序,如Web Server程序等,通过漏洞扫描,可以帮助检查这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞。#####应用层介绍应用层是最难保护的一层,因为TCP/IP程序几乎可以无限制地执行,实际上没有办法保护所有的应
常见的安全威胁
weixin_34090562的博客
06-21 870
漏洞 讨论网络安全性时,人们往往会谈到三个术语:漏洞、威胁和***。 漏洞是指每个网络和设备固有的薄弱程度。这些设备包括路由器、交换机、台式计算机、服务器,甚至安全设备。 威胁是指喜欢利用安全弱点并具有相关技能的个人。这些人会不断寻找新的漏洞和弱点。 威胁使用各种各样的工具、脚本和程序发起对网络和网络设备的***。一般而言,受到***的网络设...
android常见的应用安全威胁,Android的威胁:保证手机安全的八条建议
weixin_30366957的博客
05-28 786
2014年Android程序受到恶意攻击的状态将持续,用户该如何采取预防和防御措施呢?安全的保存来之日常实践的经验。本文总结了十条建议,来帮助Android用户减少风。安装所有应用从谷歌或其他已知的应用程序商店从谷歌商店安装应用程序(或其他大品牌商店如亚马逊的),对于Android程序市场的庞大,很多不知名的程序,本身可能就有风或易被恶意攻击。认清Android系统的不安全性保持警惕,Andr...
Web应用安全威胁与防治——基于OWASP Top 10与ESAPI
cnbird's blog
12-26 2941
http://product.china-pub.com/3021666 http://web2hack.org/book/   http://product.china-pub.com/3021117?ref=buyand#ml http://product.china-pub.com/3020484#ml
信息系统面临的安全威胁
turbock的博客
11-11 8988
信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等 多个方面。 物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成 数据丢失或信息泄漏。 通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。 网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重 安全威胁。 操作系统安全威...
人工智能应用面临7大数据安全威胁,赶紧收藏!!
wly55690的博客
03-11 1500
自动驾驶技术、智能助理、人脸识别、智能工厂、智慧城市等人工智能技术现已广泛落地,这些令人难以置信的技术正在快速改变我们的生活。但相关领域安全事件也在快速增加,这使得研究人员和使用者对人工智能的安全性担忧不断提高。人工智能应用带来的红利和其引发的安全隐患,犹如一个硬币的两面,需要全行业高度关注并找到有效的应对方法。日前,安全研究人员梳理总结了目前人工智能技术在实践应用中经常要面对的7个数据安全威胁。模型中毒(Model poisoning)是一种对抗性攻击形式,旨在操纵机器学习模型的结果。
应用安全
sparename的博客
09-01 2466
应用安全一、浏览器安全二、网上金融交易安全(一)、网上银行1、概述2、安全措施3、常见银行网址4、注意三、电子邮件安全(一)、电子邮件主要安全威胁1、电子邮件欺骗2、垃圾邮件3、邮件病毒4、邮件炸弹(二)、电子邮件安全防护技术1、邮件过滤2、邮件加密和签名四、数据安全(一)、数据安全面临的其他威胁1、设备丢失2、数据被窃取、恶意恢复3、数据安全防护注意事项(二)、数据备份1、概念2、重要性3、数据备份与数据复制4、数据备份与数据存储硬件容错5、完全备份、增量备份和差异备份五、账号口令安全(一)、账户口令面临
应用安全:确保软件和应用程序的安全性
AI天才研究院
12-27 2324
1.背景介绍 应用安全是一种关注于确保软件和应用程序不被恶意利用的技术。在今天的互联网世界中,应用安全变得至关重要,因为恶意攻击者不断地尝试找到软件和应用程序的漏洞,以便进行恶意活动。这些漏洞可能包括代码漏洞、配置漏洞、系统漏洞等。应用安全涉及到多个领域,包括密码学、网络安全、操作系统安全、数据库安全、应用程序安全等。 在本文中,我们将讨论应用安全的核心概念、算法原理、具体操作步骤、数学模型、...
应用数据安全
sinat_34896766的博客
09-25 1248
应用的安全性是一个应用能否成功的关键。HarmonyOS提供了系统安全、IDE/工具安全以及应用安全生态等三个层面的安全能力。1、系统安全层面HarmonyOS通过完整性保护、漏洞防利用、安全可信环境等安全防护技术,从架构上支持了应用的安全运行,保证其自身业务的安全可靠(例如安全支付、安全登录、安全聊天等)。2、IDE/工具层面。
应用安全概述
无言道的博客
07-14 1082
浏览器安全 常用浏览器的安全措施。 删除和管理Cookie 删除浏览历史记录 禁用ActiveX控件 网上金融交易安全 常用的安全措施如下: (1)U盾(USB-Key) (2)手机短信验证 (3)口令卡 (4)采用安全超文本传输协议 电子邮件安全 1、电子邮件安全威胁 电子邮件欺骗 垃圾邮件 邮件病毒 邮件炸弹 2、电子邮件安全防护技术 垃圾邮件过滤技术 邮件加密和签名 数据安全 一、数据备份 数据备份就是保留一套后备系统,做到有备无患。数据备份就是保存数据的副本。数据备份的目的是为了预防事故(如自然
7. 应用安全
Greedy Hat的博客
09-02 1866
应用安全
服务器端应用安全
否命题的博客
07-26 2134
SQL注入盲注Web服务器关闭了错误回显,对于攻击者就缺少了重要的调试信息,所以攻击者知道一个方法来验证SQL语句是否执行 比如http://xxxx.com/items.php?id=2 构造 http://xxxx.com/items.php?id=2 and 1=2 如果页面是空的,或者出差,可以猜测这可能存在注入的机会 再次修改 http://xxxx.com/items.php?id=2
十大数据库安全威胁及防范策略
为了有效管理这些风,Imperva的应用防御中心提出了十大数据库安全威胁,并提供了相应的缓解策略。 首先,滥用过高权限是由于权限分配不当导致的,用户或应用可能获得超过实际工作需求的数据库访问。解决方案是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值