OWASP十大web应用安全漏洞.pdfVIP

OWASP10要素项目：（OWAS，P2006）：

一、UnvalidatedInput非法输入在数据被输入程序前忽略对数据合法性的

检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入

的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

二、BrokenAccessControl失效的访问控制——大部分企业都非常关注对已经建立

的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控

制。

三、BrokenAuthenticationandSessionManagement失效的账户和线程管理——良

好的访问控制并不代表万事大吉了。企业还应该保护用户的密码，会话令牌，账户

列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。

四、CrossSiteScripting（XSS）Flaws跨站点脚本攻击XSS是一种常见

的攻击。当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，当没

有保护能力的台式机访问这个页面或资源时，脚本就会被启动。这种问题可以影响

成百上千的员工以及企业客户的终端电脑。

五、BufferOverflows缓存溢出——缓存溢出问题一般出现在较早的编程语言如C语

言编写的程序中。这种编程错误其实也是由于没有很好的确定输入内容在内存中的位

置所草成的。在本文的后续部分中，我们会讲到，通过一些高级的编程环境，如

Java以及.Net，可以很好的控制此类问题。

六、InjectionFlaws注入式攻击——如果没有成功的阻止带有语法含义的输入

内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容，应

该保持简单，并且不应该还有可被执行的代码内容。

七、ImproperErrorHandling异常错误处理——当错误发生时，向用户提交错误提示

是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻

击者分析出网络环境的结构或配置。

八、InsecureStorage不安全的存储对于Web应用程序来说，妥善的保存

密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进

行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方

案，其中就可能存在漏洞。

九、ApplicationDenialofService程序拒绝服务——与拒绝服务攻击（DoS）

类似，应用程序的DoS攻击利用大量非法用户抢占应用程序资源，导致合法用户

无法使用该Web应用程序。

十、InsecureConfigurationManagement不安全的配置管理——有效的配置管理过

程可以为Web应用程序和企业的网络架构提供良好的保护。针对以上列表，我有两

点要说明一下。首先，这个列表并不能涵盖企业的Web应用程序中的全部

脆弱点，它只是OWAS的成员组织最常遇到的问题，因此也是你应该着重检查

的内容。

OWASPTop102007简介（2009-05-2215:24:46）

10.FailuretoRestrictURLAccessURL（访问限制失败）

存在这种弱点的Web应用程序/站点允许攻击者通过“猜测”地址找到URL

9.InsecureCommunications（不安全的通信）通信不安全是由于无法合理保障内外

信息接口的安全而造成的。

8.InsecureCryptographicStorage（不安全的加密存储）加密存储不安全是指敏感信

息没有采取合理适当的加密措施就保存在易失性或非易失性存储器中。

7.BrokenAuthenticationandSessionManagemen（t损坏的验证和会话管理）6.

InformationLeakageandImproperErrorHandling（错误处理不当问题）如果应用

程序或底层基础设施中出现一个错误时向用户提供过多信息，就会造成错误处理不

当问题.

5.CrossSiteR