Owasp Top 10 Security Risks for 2014

时间:2022-02-12 22:00:39

A1-互联网泄密事件/撞库攻击

以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全 界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微 博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418 条,7K7K:18,282,404条,共1.2亿条。

经典案例:

WooYun: CSDN数据库泄露,大量用户真实账号密码外泄

11年底CSDN在乌云上被披露数据库已经泄露,用户的用户名以及明文密码在互联网上流传开,揭开了互联网数据库泄露事件冰山一角,陆续多家大型网站被窃取的数据库开始在互联网上流传。

A2-引用不安全的第三方应用

第三方开源应用、组件、库、框架和其他软件模块; 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增 加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。

经典案例:

WooYun: 淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息

OpenSSL漏洞的公开,导致众多大型互联网厂商遭殃。

A3-系统错误/逻辑缺陷带来的暴力猜解

由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。 随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。

经典案例:

WooYun: 大公司诟病系列#1 重置京东任意用户密码

京东员工邮箱登陆外网可访问,导致暴力猜解出众多员工邮箱弱密码。

A4-敏感信息/配置信息泄露

由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。

经典案例:

WooYun: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

用户敏感信息放在Web目录,导致可以直接下载。

A5-应用错误配置/默认配置

多数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。常见风 险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能 默认后台和管理口令。

经典案例:

WooYun: 敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露 (目测酷狗有3.6亿用户)

备份数据库可以直接浏览到并下载。

A6-SQL注入漏洞

注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据 欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。

经典案例:

WooYun: 虾米网SQL注入,1400万用户数据,各种交易数据,主站数据,均可拖,紧急!!

作为一个可以直接影响到核心数据的经典漏洞,至今仍然频繁出现在人们的视野中。

A7-XSS跨站脚本攻击/CSRF

属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。

经典案例:

WooYun: 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)

XSS攻击最希望达到:隐蔽,长期控制,此漏洞都达到了。

A8-未授权访问/权限绕过

多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。

经典案例:

WooYun: 搜狗某重要后台未授权访问(涉及重要功能及统计信息)

重要功能的后台一定要安全。

A9-账户体系控制不严/越权操作

与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话 token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权 窃取所有业务系统的数据。

经典案例:

WooYun: 乐视网2200万用户任意用户登录

越权登陆任意用户。

A10-内部重要资料/文档外泄

无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信 息外泄,将直接加重企业安全隐患发生的概率。

经典案例:

WooYun: 淘宝敏感信息泄漏可进入某重要后台(使用大量敏感功能和控制内部服务器)

github或者百度网盘等分享网站上总能找到有趣的东西。

感谢猪猪侠对本文的贡献。

本文摘自:http://drops.wooyun.org/news/2731

Owasp Top 10 Security Risks for 2014的更多相关文章

  1. OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)

    OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...

  2. OWASP top 10

    OWASP Top 10 A1: InjectionSolution+Validate User Input+Never concatenate queries and date+Parameteri ...

  3. OWASP TOP 10 2017中文译文

    说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...

  4. Web漏洞总结: OWASP Top 10

    本文原创,更多内容可以参考: Java 全栈知识体系.如需转载请说明原处. 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业 ...

  5. OWASP TOP 10 详解

      OWASP--开放式web应用程序安全项目 参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.n ...

  6. ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  7. ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

    先来看几个出现安全问题的例子 OWASP TOP10 开发为什么要知道OWASP TOP10 TOP1-注入 TOP1-注入的示例 TOP1-注入的防范 TOP1-使用ESAPI(https://gi ...

随机推荐

  1. java function retry wrapper

    import java.util.concurrent.Callable; /** * Created by huahui.yang on 1/29/16. */ public class Retry ...

  2. Python’s SQLAlchemy vs Other ORMs[转发 5] PonyORM

    PonyORM PonyORM allows you to query the database using Python generators. These generators are trans ...

  3. Android LayoutInflater 动态地添加删除View

    我想实现点击一个按钮(或其他的事件)添加或删除View,网上找到了LayoutInflater这个类. 下面是我自己一些经验: android官网上LayoutInflater的API:http:// ...

  4. 工作中遇到的问题--使用DTO减少数据字段

    Location中包含如下字段以及AMfgObject中关于创建信息的字段,然而有时使用并不需要传输那么多数据,则对其中字段进行过滤. @Entity@Table(name = "LOCAT ...

  5. gulp分享文档

    Grunt--I/O操作: 读取A → A.a() → 写出A → 读取A → A.b() → 写出A; gulp--数据流:读取A → A.a() → A.b() → 写出A. Part① 构建gu ...

  6. (转)ios限制控制器旋转

    iOS屏幕旋转控制 iOS屏幕旋转控制(iOS6之后)       iOS6之前,子控制器只要覆盖父类的shouldAutorotateToInterfaceOrientation:方法就能单独控制某 ...

  7. [Swift]LeetCode996. 正方形数组的数目 | Number of Squareful Arrays

    Given an array A of non-negative integers, the array is squareful if for every pair of adjacent elem ...

  8. checkbox 用css改变默认的样式

    <!--html--> <label class="bl_input_checkbox click_checkbox" che_data="10&quo ...

  9. 用java生成32位全球唯一的id编号

    GUID是一个128位长的数字,一般用16进制表示.算法的核心思想是结合机器的网卡.当地时间.一个随即数来生成GUID.从理论上讲,如果一台机器每秒产生10000000个GUID,则可以保证(概率意义 ...

  10. 学习Acegi应用到实际项目中(2)

    Acegi应用到实际项目中(1)是基于BasicProcessingFilter的基本认证,这篇改用AuthenticationProcessingFilter基于表单的认证方式. 1.authent ...

相关文章