OWASP 2017 Top10 漏洞体系

OWASP Top10 2017更新解析
最新推荐文章于 2025-09-15 21:20:28 发布
转载 最新推荐文章于 2025-09-15 21:20:28 发布 · 716 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/whatday/article/details/103612456

本文详细解析了2017年OWASP Top10的更新内容,包括漏洞标准的变化,如合并与新增条目,以及API安全的重要性。文章探讨了漏洞与日常渗透测试的关联,并深入分析了接口安全,强调了API在现代安全评估中的关键作用。

2017年4月初,OWASP发布了关于Top10的征求意见版。 争议最大的是A7攻击检测与防范不足。 但我主要是按照日常的渗透漏洞进行解读分析的。

 

0x00 Top 10

OWASP Top10漏洞体系长期以来作为Web攻防白帽子既基础又核心的一个标准。漏洞标准变化如下:

变化内容:

  1. 合并了2013-A4“不安全的直接对象引用”和2013-A7“功能级访问控制功能缺失”到2017-A4“无效的访问控制”。
  2. 增加了2017-A7:攻击检测与防范不足
  3. 增加了 2017-A10: 未受保护的API
  4. 去掉了: 2013-A10:未验证的重定向和转发
  5. 根据增删内容,标准中多次提到了API安全的关键字
  6. 根据解说内容,标准逐渐向抽象性漏洞过渡和延伸,包括登录体系、会话权限等系列的逻辑漏洞

 

0x01 漏洞关联

官方提到 T10围绕主要风险区域进行整理,而不是密封,不重叠或严格的分类。 其中一些是围绕着攻击者整理的,一些是脆弱性,一些是防御,一些是资产。 组织应考虑制定措施,以消除这些问题。Top10 与日常渗透的实际的漏洞点结合起来,关联如下:

 

当然硬性的把某个漏洞直接归类到An类型,也不是很友好,比如上传漏洞归到A4 – 失效的访问控制略显牵强,因为从数据包上面理解更像是注入,但文件包含、任意下载删除这基本和权限是有关的,所以暂时把文件操作类漏洞归纳为A4。虽然硬性归纳和漏洞堆叠 部分略显牵强,但这种类型的关联能够体现线性拓展以便进一步建模分析,用以滚雪球式充当产品漏报和误报的理论基础。

 

0x02 接口安全

本次更新,API关键字上镜率特别高,SO尝试单独对接口安全进行汇总分析。 科普到关于API的定义和范围,简单理解就是接口,连接两部分代码的粘合剂。我们可以在APIStore搜索到关于N多产品分类的接口,但这些API对于已有漏洞挖掘经验来分析,规律统一,所以我们按照日常漏洞挖掘的思维去分类,如下:

回想Web安全漏洞挖掘主要集结在输入输出、登录体系、会话权限三大类(包含了常见的WEB漏洞以及逻辑漏洞),当然依据目前移动互联网的趋势还有多种文件及数据类型XML JSON RPC GWT 的接口,所以有必要针对接口安全进行细分及挖掘。渗透过程中经常会遇到手机APP、小程序、微信公众号类等,好多都是基于WebService,所以仍然可以找到类似Web一样的服务端漏洞。

Tips:对APP进行反编译,在内部根据域名和IP进行正则匹配,往往也是个薄弱出发点。

 

 我们再回看一个关于支付接口的漏洞分类,以便进一步佐证接口安全在渗透的地位。当然如果考虑防御的话,更多考虑的是机制是协同。

另外关于接口数据的关联整合,这个一直想表达的,但碍于案例,目前尚未发布。举例说明通过登录接口部分不健全机制,可以获得用户名对应的隐藏几位的手机号,根据手机号可获得用户名。还可以根据用户名能够对应论坛的个人属性。这样经过大量数据爬虫后,可以对应“用户名---手机号---个人属性”的关联信息。这部分可能在房产、金融等领域会有突出的效果。

 

0x03 OWASP top10 全局关联图

 

 

whatday
关注
OWASP top10 漏洞
qq_52469895的博客
04-20 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​1.获取数据库名 select SCHEMA_NAME from information_schema.SCHEMA.
OWASP Top 10安全漏洞
qq_73792226的博客
08-06 1420
1. 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 常见类型:SQL注入、OS命令注入等。 防御措施:使用预编译语句或存储过程进行数据库查询;对输入进行严格的验证和清理;使用ORM框架等。 2. 失效的身份认证(Broken Authentication) 原理:身份认证机制不健全,导致攻击者能够绕过认证机制,冒充其他用户。 常见类型:密码猜测、会话劫持等。 防御措施:使用多因素认证增强安全性;采用强密码策略并定期更换密码;对会话管理进行加密等。
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感数据暴露
[原创]解读2017 OWASP Top10漏洞体系(含接口安全)
weixin_30587927的博客
04-27 391
20174月初,OWASP发布了关于Top10的征求意见。 争议最大的是A7攻击检测与防范不足。 但我主要是按照日常的渗透漏洞进行解读分析的。 解读完毕后,首发t00ls原创文章。 https://www.t00ls.net/viewthread.php?from=notice&tid=39385 0x00 Top 10 OWASP Top10漏洞体系长期以来作为Web攻防白帽...
OWASP漏洞TOP10
s11show_163的博客
02-28 1461
A1 注入 Injection 攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(prepared statements,or stored procedures) 2.使用白名单来规范化的...
2023_OWASP TOP10_漏洞详情
cc123489ll的博客
06-24 777
3 、跨站脚本攻击( X S S ) 3、跨站脚本攻击(XSS) 3、跨站脚本攻击(XSS)
OWASP TOP10学习指南 | 测试工程师提升必知~
最新发布
m0_52884634的博客
09-15 511
摘要: OWASP TOP10是由全球非盈利组织OWASP(开放Web应用安全项目)基于社区协作梳理的Web应用安全风险清单,旨在为开发者与测试人员提供优先级指引。该榜单每3-4更新,覆盖SQL注入、XSS等高危漏洞,并配套免费工具(如OWASP ZAP)和实战指南。测试工程师需分阶段掌握:初级能手动检测基础漏洞,中级实现自动化扫描,高级可设计全流程安全方案并推动团队落地。其核心价值在于将安全测试标准化,帮助团队聚焦关键风险,面试中结合案例讲解TOP10可凸显安全测试能力。建议通过官网文档和实操工具(如扫
2024最新OWASP Top 10 网络安全10漏洞——A01:2024-访问控制中断(3),网络安全快速转战Kotlin教程
2401_84253850的博客
05-06 1185
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
2024网络安全最新OWASP Top 10 网络安全10漏洞——A01:2024-访问控制中断
2401_84265972的博客
05-03 1628
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!
m0_74131821的博客
06-12 6405
在学习网络安全之前,需要总体了解安全趋势和常见的Web漏洞,在这里我首推了解OWASP,因为它代表着业内Web安全漏洞的趋势
OWASP十大安全漏洞
01-12
总结和学习了2017新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述,详见ppt
OWASP TOP10 漏洞介绍中文
04-21
OWASP_Top_10_2013-Chinese-V1.2 OWASP组织提供的前10漏洞清单 互联网运营必看
Web安全之OWASP TOP10漏洞
m0_64481831的博客
03-09 1905
简单点说,OWASP概括了“10项最严重的Web应用程序安全风险列表”,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。OWASP每四发布一次,现在最新的OWASP是由2021公布的。
OWASP-TOP10漏洞-注入漏洞
weixin_44770698的博客
09-08 2061
OWASP TOP10 漏洞之注入漏洞学习(一)
OWASP TOP 10漏洞分析
weixin_54535828的博客
05-07 3002
1.注入 - Injection 2.跨站脚本 - (XSS) 3.失效的验证和和会话管理 4.不安全的直接对象访问 5.跨站请求伪造 - (CSRF) 6.不正确的安全设置 7.不安全的加密存储 8.URL访问限制缺失 9.没有足够的传输层防护 10.未验证的重定向和跳转 注入-Injection 1、虽然还有其他类型的注入攻击,但绝大多数情况下,问题设计的都是SQL注入 2、攻击者通过发送SQL操作语句,达到获取信息、篡改数据库、控制服务器等目的。是目前费长流行的WEB攻击手段 3、流行性:常见;危
OWASP Top 10中的十个漏洞
QuJJan的博客
01-17 881
OWASP(Open Web Application Security Project)是一个致力于提高Web应用程序安全的非营利组织,他们发布了一个名为"OWASP Top 10"的项目,列出了目前最常见的Web应用程序漏洞。开发人员和安全专家应该注意识别和修复SSRF漏洞,以确保应用程序的安全性。SSRF指的是攻击者可以通过构造恶意请求,使服务器发起对内部资源或其他外部服务的未经授权的请求。实际上,SSRF是常见的Web应用程序安全漏洞之一,尽管它没有被列为OWASP Top 10中的十个漏洞
OWASP TOP 10 漏洞 2017
qq_44430237的博客
04-03 772
为了解决这个问题,应该确保在日志记录和监控过程中,敏感信息不会被记录或存储,或者在记录和存储时得到适当的保护。失效的身份认证 Broken Authentication 是指应用程序中的身份认证机制被攻击者利用或者绕过,导致攻击者可以通过各种手段获取未经授权的访问应用程序的权限,从而可以窃取敏感信息、进行恶意操作等。定期安全审计和漏洞扫描:对于 Web 应用程序,定期的安全审计和漏洞扫描是必不可少的,可以及时发现和修复潜在的 XSS 漏洞,提高 Web 应用程序的安全性。
OWASP Top 10 网络安全10漏洞——A02:A02:2021-加密机制失效
Aggy阿吉的博客
03-05 1222
首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。属于隐私法的数据,是否存在以明文传输的问题。数据是否适用旧的较弱的加密算法和协议来加密。收到的服务器证书和信任链是否经过验证。设计加密机制是是否考虑随机性。
OWASP Top 10 漏洞详解:基础知识、面试常问问题与实际应用
xixixi7777的博客
10-15 2122
SQL 注入(SQL Injection)断开认证和会话管理(Broken Authentication and Session Management)跨站脚本(Cross-Site Scripting, XSS)不安全的直接对象引用(Insecure Direct Object References)安全配置错误(Security Misconfiguration)敏感数据泄露(Sensitive Data Exposure)
owasp top10 2021详解
02-20
### OWASP Top 10 2021 安全风险详细介绍 #### A01:2021 – 注入 注入攻击发生在不受信任的数据作为命令或查询的一部分发送给解释器时。攻击者的恶意数据可以诱使解释器执行计划外的命令或访问未经授权的数据[^1]。 #### A02:2021 – 身份验证失败 当应用程序的功能受到不当的身份验证保护时,就会发生身份验证失败。这允许攻击者破坏密码、密钥或其他认证令牌,从而冒充其他用户登录系统。 #### A03:2021 – 敏感数据泄露 敏感数据泄露涉及未加密存储或传输中的个人信息和其他重要信息丢失的风险。如果这些信息被窃取或暴露,则可能导致隐私侵犯等问题。 #### A04:2021 – XML 外部实体 (XXE) XML外部实体(External Entity, XXE)是指利用解析器处理包含特定标记的语言文件(如SGML/XML)的能力来读取本地文件或将请求发送至内部网络资源的一种方式。这种类型的漏洞通常存在于老旧本库中,并且可以通过更新依赖关系解决。 #### A05:2021 – 安全配置错误 安全配置错误指的是由于服务器端设置不正确而导致的安全隐患。这类问题可以从简单的默认账户存在到更复杂的权限管理失误等多个方面表现出来。良好的实践建议定期审查和调整环境下的各项参数以确保安全性。 #### A06:2021 – 危险或过期组件 使用具有已知漏洞的第三方库或框架可能会让整个应用面临潜在威胁。因此,在构建软件产品之前应仔细检查所使用的各个部分是否存在安全隐患;对于不再维护和支持的技术栈尤其要谨慎对待[^3]。 #### A07:2021 – 身份识别与会话管理缺陷 此条目涵盖了多个子类别,包括但不限于跨站脚本(Cross-Site Scripting,XSS),它使得攻击者能够向受害用户的浏览器注入恶意代码片段。此外还有CSRF(cross-site request forgery),即伪造来自受信客户端的HTTP请求等情形。 #### A08:2021 – 软件和数据完整性违规 该分类关注的是那些未能充分保障其分发渠道可信度的应用程序和服务。例如通过不可靠来源下载插件包而引入木马病毒等情况都属于此类别下讨论的内容之一。 #### A09:2021 – 安全日志记录和监控不足 缺乏有效的日志机制以及实时监测能力会使企业在遭受入侵事件之后难以追踪溯源甚至无法察觉异常行为的发生。建立完善的审计跟踪体系有助于及时发现并响应各类安全事故。 #### A10:2021 – 服务器端请求伪造(SSRF) 最后一条提到的是服务器端发起对外界可控URL地址发出HTTP(S)调用的行为模式——也就是所谓的Server Side Request Forgery (SSRF). 这种情况往往会被用来绕过防火墙限制进而获取内网敏感资料或是实施进一步攻击行动。 ```python import requests def fetch_data(url): response = requests.get(url) return response.text ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值