除了關(guān)注業(yè)務(wù)本身外，越來越多的企業(yè)也開始關(guān)注web安全。Web安全領(lǐng)域我們經(jīng)?？吹絆WASP Top 10，那么什么是OWASP Top 10呢?它跟Web有什么關(guān)系呢?

OWASP(開放式Web應(yīng)用程序安全項目)是一個開源的、非營利性的全球性安全組織，致力于改進Web應(yīng)用程序的安全，這個組織最出名是，它總結(jié)了10種最嚴重的Web應(yīng)用程序安全風(fēng)險，警告全球所有的網(wǎng)站擁有者，應(yīng)該警惕這些最常見、最危險的漏洞。

這就是著名的OWASP Top 10。

OWASP Top 10包括：注入、失效身份驗證和會話管理、敏感信息泄露、XML外部實體注入攻擊(XXE)、存取控制中斷、安全性錯誤配置、跨站腳本攻擊(XSS)、不安全的反序列化、使用具有已知漏洞的組件、日志記錄和監(jiān)控不足。

注入

當Web應(yīng)用程序缺乏對使用的數(shù)據(jù)進行驗證和清理的時候，極易發(fā)生注入攻擊。著名的注入攻擊有SQL注入、NoSQL注入、OS注入等。注入攻擊會導(dǎo)致數(shù)據(jù)丟失和被破壞，甚至主機被黑客完全接管。

失效身份驗證和會話管理

失效身份驗證和會話管理主要發(fā)生在Web應(yīng)用程序身份驗證環(huán)節(jié)，身份驗證機制出現(xiàn)邏輯問題便會出現(xiàn)此類問題。黑客會利用身份驗證漏洞，嘗試控制系統(tǒng)中的賬戶，一旦操作成功，他便能合法的進行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最廣泛的Web應(yīng)用程序問題，Web應(yīng)用程序、API未加密，或者無法準確保護敏感信息，均會導(dǎo)致個人信息、密碼等敏感信息泄露，被黑客出售給第三人，或用于違法犯罪目的。

XML外部實體注入攻擊(XXE)

這種攻擊主要針對解析XML輸入的Web應(yīng)用程序。弱配置的XML解析器處理包含外部實體引用的XML輸入時，就會發(fā)生XXEE攻擊。黑客會利用這個漏洞竊取URI文件處理器的內(nèi)部文件和共享文件，從而監(jiān)聽或執(zhí)行遠程代碼，或發(fā)動拒絕服務(wù)攻擊。

存取控制中斷

如果對已經(jīng)身份驗證通過的用戶，沒有實施合適的訪問權(quán)限控制，那么攻擊者便可以通過這個漏洞，去使用未經(jīng)授權(quán)的功能，以及查看未經(jīng)授權(quán)的數(shù)據(jù)，例如訪問用戶的賬戶、查看敏感文件等等。

安全性錯誤配置

操作者使用默認配置、臨時配置、開源云存儲、http標頭配置等不當配置，攻擊者便會利用這些錯誤配置，獲得更高的權(quán)限。安全性錯誤配置是最常見的漏洞之一，攻擊難度低。攻擊者可使用自動化程序發(fā)動攻擊，極其危險。

跨站腳本攻擊(XSS)

黑客將惡意的客戶端腳本注入到目標網(wǎng)站，并將該網(wǎng)站用作傳播方法。攻擊者發(fā)動XSS攻擊后，受害網(wǎng)站的顯示方式會被黑客控制，網(wǎng)站會被黑客重定向至新頁面，或者顯示廣告、違法犯罪等內(nèi)容。

不安全的反序列化

攻擊程序會嘗試在不進行任何驗證的情況下，對數(shù)據(jù)進行反序列化，不安全的反序列化會導(dǎo)致遠程代碼執(zhí)行、重放攻擊、注入攻擊等。

使用具有已知漏洞的組件

如果Web應(yīng)用程序含有已知的漏洞，攻擊者可利用漏洞獲取數(shù)據(jù)或接管服務(wù)器。Web應(yīng)用程序所使用的框架、庫或者其他軟件模塊，會破壞應(yīng)用程序的防御，造成更為嚴重的后果。

日志記錄和監(jiān)控不足

日志記錄和監(jiān)控是一種有效的防范手段，它能在發(fā)送問題時，幫助你迅速采取行動，如果應(yīng)用程序日志記錄和監(jiān)控不足，黑客能進一步控制系統(tǒng)，造成更大、更長遠的危害。