- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
关于OWASPTop102021的整理
关于OWASPTop102021的整理
前⾔
OWASP(openwebapplicationsecurityproject)⼀个开放的在线社区,致⼒于使组织能够开发、购买和维护可信赖的应⽤程序和API。
⽽owasptop10该组织统计当年内出现频率和问题最⾼的漏洞。进⾏排名和相关说明,来帮助开发者进⾏修改和发展。
2021版的owasp也已经更新,分别依次:失效的访问控制、加密失败、注⼊、不安全的设计、安全配置错误、易受攻击和过时的组件、
认证和授权失败、软件和数据完整性故障、安全⽇志记录和监控失败、服务端请求伪造(SSRF)。2021中出现了三个新类别,四个类别
的命名和范围发⽣了变化。
A01:2021失效的访问控制
链接地址:/Top10/A01_2021-Broken_Access_Control/
数据要素
CCWWEESS映映射射最最⼤⼤发发⽣⽣率率平平均均发发⽣⽣率率平平均均加加权权漏漏洞洞利利⽤⽤率率平平均均加加权权漏漏洞洞影影响响率率最最⼤⼤覆覆盖盖范范围围平平均均覆覆盖盖范范围围总总发发⽣⽣次次数数CCVVEE总总数数
3455.97%3.81%6.925.9394.55%47.72%31848719013
概述
在2021中从之前的第五名跃升到榜⾸;94%的应⽤程序都经过了某种形式的破坏访问控制的测试。映射到失效的访问控制的34个CWE在
应⽤程序中出现的次数⽐任何其他类别都多。其中值得关住的常见CWE有:CWE-200:将敏感信息暴露给未经授权的参与者、CWE-201
通过发送的数据暴露敏感信息以及CWE-352:跨站请求伪造。
描述
失效访问控制就执⾏策略,使⽤户不能超出其预期权限⾏事。如果策略失败就会导致未经授权的信息被暴露、修改或者销毁相关数据,更
有甚者在⽤户限制之外执⾏业务功能。另外,通俗点讲失效的访问控制其实就⼀种越权操作⾏为,这种越权主要表现为⽔平越权和垂直越
权⾏为。下⾯⼀些主要的常见问题:
1违反最⼩特权原则或默认拒绝,其中仅应授予特定能⼒,⾓⾊或⽤户访问权限,但任何⼈都可以访问。
2通过修改RL(参数篡改或强制浏览)、内部应⽤程序状态或HTML页⾯,或使⽤攻击⼯具修改API请求来绕过访问控制检查
3访问API时缺少对POST、PT和DELETE的访问控制。
4特权提升。在未登录的情况下充当⽤户或以⽤户⾝份登录时充当管理员。
5元数据操作,例如重放或篡改JSONweb令牌(JWT)访问控制令牌,或⽤于提升权限或滥⽤JWT失效的cookie或隐藏字段。
6CORS(跨域)错误配置允许来⾃未经授权/不受信任的来源的API访问。
7强制以未经⾝份验证的⽤户⾝份浏览经过⾝份验证的页⾯或以标准⽤户浏览特权页⾯。
对于上述提到的问题其实说具体点可以说⽂件包含或这⽬录遍历,由于控制不严使⽤户可以对⽹站进⾏⾮法操作,得到⼀些敏感信息和对
⽹站不利的信息;还有就权限绕过和提升,例如⽹站存在漏洞使恶意者得到⼀个账户就可以对其它平级⽤户实现操作,或者严重⼀点的可
以借此获得管理员权限;还有就对不安全直接对象的引⽤,有时候⽹站在跨站访问⼀些资源的时候由于配置错误或者控制不严,使⽹站暴
露在危险之中。
失效的访问控制的防御思路
1.访问控制仅在受信任的服务器代码或⽆服务器API中有效,攻击者⽆法修改访问控制检查或元数据。
1除公共资源外,默认拒绝。
2实施⼀次访问控制机制并在整个应⽤程序中重复使⽤它们,包括最⼤限度地减少跨源资源共享(CORS)的使⽤。
3模型访问控制应该强制记录所有权,⽽不接受⽤户可以创建、读取、更新或删除任何记录。
4独特的应⽤程序业务限制要求应由领域模型强制执⾏。
5禁⽤Web服务器⽬录列表并确保⽂件元数据(例如.git)和备份⽂件不在Web根⽬录中。记录访问控制失败,在适当时提醒管理员(例如,重复失败
)。
6速率限制API和控制器访问,以最⼤限度地减少⾃动攻击⼯具的危害。
7注销后,服务器上的有状态会话标识符应失效。⽆状态JWT令牌应该短暂的,以便最⼩化攻击者的机会窗⼝。对于寿命较长的J
您可能关注的文档
- PCI DSS标准4.0版(中文版).pdf
- PCI DSS标准4.0版介绍(英文版).pdf
- PCI DSS标准3.2.1版到4.0版的变化(中文版).pdf
- PCI DSS标准3.2.1版到4.0版的变化(英文版).pdf
- 香港雇佣合同模板(英文).pdf
- 美国安全标准 NIST.SP.800-131Ar2.pdf
- 钛学术_期刊_重新认识适用性声明.pdf
- 穷游锦囊 - 印度尼西亚.pdf
- (三篇)双减背景下分层设计初中语文作业研究结题报告(详细版) .docx
- GBT 44429-2024:大科学装置风险管理的核心原则 .pdf
- 全国青少年(毒品预防教育)知识考试题库与答案 .pdf
- 2023年山东胶州市领军计划自主招生历史试题真题(含答案详解) .pdf
- 【人教版八年级生物】第六单元 第二章 认识生物的多样性 .pdf
- 冀人版-第三单元 电(提升卷)-四年级科学上册单元培优进阶练.docx
- 新郑市事业单位统考真题 .pdf
- 冀人版-第三单元动物的生长与繁殖(单元测试)四年级下册科学.docx
- CLCN4基因变异相关癫痫的临床表型及基因变异特点 .pdf
- 【《“双减”背景下小学中年级语文自主阅读策略探究》6500字】 .pdf
- 高一语文开学第一课+课件+2024-2025学年统编版高中语文必修上册 .pdf
- 密山市事业单位统考真题 .pdf
文档评论(0)