OWASP Top 10 基于漏洞出现频率、危害程度等综合评定的,Web 应用程序最常见、最严重的十大安全风险列表,列出了对Web应用程序最具威胁性的十大安全漏洞。组织每 3-4 年更新一次,旨在帮助开发者、安全团队和企业优先处理最关键的安全漏洞,以下是最新版(2021 年更新)的详细解析:
一、历史与作用
-
发展历程
- 2003 年:首版发布,聚焦 SQL 注入、XSS 等基础漏洞。
- 2017 年:引入 “不足的身份验证”“安全配置错误” 等新类别,强调 API 安全。
- 2021 年:结合云原生、API 等趋势,新增 “组件漏洞”“服务器端请求伪造(SSRF)”。
-
核心作用
- 优先级排序:帮助企业识别最危险的漏洞,优化安全资源分配。
- 教育与合规:作为安全意识培训和开发规范的参考标准。
- 风险评估:作为渗透测试、代码审计的重点检查清单。
二、2021 版 OWASP Top 10 漏洞列表
A01: 2021 - 注入(Injection)
- 典型漏洞:SQL 注入、命令注入、LDAP 注入。
- 攻击手法:通过恶意输入(如表单、URL 参数)操纵后端查询语句。
- 代码示例(SQL 注入):
python
运行
# 存在漏洞的代码 username = request.GET['username'] password = request.GET['password'] query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'" cursor.execute(query) # 攻击者可输入 " ' OR '1'='1 " 绕过验证 # 修复方案(使用参数化查询) query = "SELECT * FROM users WHERE username=%s AND password=%s" cursor.execute(query, (username, password))
A02: 2021 - 身份验证失效(Broken Authentication)
- 典型漏洞:弱密码策略、会话固定攻击、密码明文存储。
- 攻击手法:暴力破解、会话劫持(如窃取 Session ID)。
- 代码示例(会话固定):
java
// 错误做法:登录前后使用相同Session ID HttpSession session = request.getSession(); if (authenticate(username, password)) { // 未生成新Session ID,攻击者可提前获取旧ID session.setAttribute("user", username); } // 修复方案(登录后创建新Session) session.invalidate(); // 销毁旧Session session = request.getSession(true); // 创建新Session
A03: 2021 - 敏感数据暴露(Sensitive Data Exposure)
- 典型漏洞:明文传输密码、未加密存储信用卡信息。
- 攻击手法:中间人攻击(如窃听 HTTP 流量)。
- 代码示例(未加密的 Cookie):
php
// 错误做法:明文存储用户ID setcookie("user_id", $user_id, time()+3600); // 修复方案(加密Cookie) $encrypted = openssl_encrypt($user_id, 'AES-256-CBC', $secret_key); setcookie("user_id", $encrypted, time()+3600);
A04: 2021-XML 外部实体(XXE)
- 典型漏洞:解析未过滤的 XML 输入。
- 攻击手法:通过恶意 XML 文件读取服务器文件(如
/etc/passwd)。 - 代码示例(Java XXE):
java
// 存在漏洞的代码 DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); DocumentBuilder builder = factory.newDocumentBuilder(); Document doc = builder.parse(request.getInputStream()); // 解析用户提交的XML // 修复方案(禁用外部实体解析) factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
A05: 2021 - 安全配置错误(Security Misconfiguration)
- 典型漏洞:默认管理员账户、未关闭调试模式、敏感文件暴露(如
.git目录)。 - 攻击手法:枚举目录结构,发现敏感文件或配置。
- 示例:
- 未删除的默认管理员账户:
admin/admin123。 - 暴露的 Tomcat 管理界面:
http://example.com/manager/html。
- 未删除的默认管理员账户:
A06: 2021 - 易受攻击的和过时的组件(Vulnerable and Outdated Components)
- 典型漏洞:使用存在已知漏洞的第三方库(如 Log4j2、Spring4Shell)。
- 攻击手法:利用公开的 CVE 漏洞进行攻击。
- 防御方案:
- 使用 Dependency-Check 等工具扫描依赖。
- 定期更新组件至最新安全版本。
A07: 2021 - 识别和授权失败(Identification and Authorization Failures)
- 典型漏洞:权限绕过(如未验证用户角色)、垂直权限提升。
- 攻击手法:修改 URL 参数访问未授权资源(如
/admin)。 - 代码示例(权限绕过):
javascript
// 错误做法:仅前端验证角色 if (user.isAdmin) { window.location.href = "/admin/dashboard"; } // 修复方案(后端强制验证) app.get("/admin/dashboard", (req, res) => { if (req.user.role !== "admin") { // 后端验证角色 return res.status(403).send("Forbidden"); } res.render("admin_dashboard"); });
A08: 2021 - 软件和数据完整性失败(Software and Data Integrity Failures)
- 典型漏洞:未验证第三方依赖的签名、JavaScript 代码被篡改。
- 攻击手法:注入恶意代码到 CDN 或 npm 包中。
- 防御方案:
- 使用数字签名验证依赖(如 npm 的
npm audit)。 - 对关键代码进行哈希校验(如 SRI)。
- 使用数字签名验证依赖(如 npm 的
A09: 2021 - 安全日志记录和监控失败(Security Logging and Monitoring Failures)
- 典型漏洞:未记录登录失败、未监控异常流量。
- 攻击手法:进行多次尝试攻击后无告警(如暴力破解)。
- 防御方案:
- 记录所有登录 / 权限变更事件。
- 集成 ELK Stack 等工具实时分析日志。
A10: 2021 - 服务器端请求伪造(SSRF)
- 典型漏洞:未过滤用户输入的 URL。
- 攻击手法:诱使服务器向内部系统(如
http://127.0.0.1:22)发起请求。 - 代码示例(Python SSRF):
python
# 存在漏洞的代码 url = request.GET['url'] # 用户可控URL response = requests.get(url) # 直接请求 # 修复方案(白名单验证) ALLOWED_DOMAINS = {"example.com", "api.example.com"} domain = urlparse(url).netloc if domain not in ALLOWED_DOMAINS: return HttpResponse("Invalid URL", status=400)
三、防御策略总结
- 输入验证:使用白名单过滤所有用户输入,避免注入。
- 最小权限原则:用户仅拥有完成任务所需的最低权限。
- 加密敏感数据:使用 HTTPS、AES 等加密算法保护数据。
- 定期更新:及时修复组件漏洞,关注 CVE 公告。
- 分层防御:结合 WAF、代码审计、渗透测试多维度防护。
通过理解 OWASP Top 10 并实施相应防御措施,可显著提升 Web 应用的安全性。建议将其作为开发流程的一部分,从设计阶段开始预防安全风险,如果能将 Top 10 集成到软件开发生命周期中,则表明该组织总体上致力于践行业内安全开发的最佳实践。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
