2013-WEB十大安全问题T0P10.pdfVIP

WEB 安全性测试 1. WEB 安全漏洞1 2. 常见的10 种安全漏洞（OWASPTOP10 ）1 2.1 注入1 2.2 失效的身份认证和会话管理2 2.3 跨站脚本（XSS ）4 2.4 直接引用不安全的对象5 2.5 安全配置错误6 2.6 敏感信息泄漏7 2.7 缺少功能级访问控制8 2.8 跨站请求伪造（CSRF ）9 2.9 使用含有已知漏洞的组件11 2.10 未验证的重定向和转发11 3. Top10 风险因素总结13 4. 如何进行验证测试13 4.1 代码审查13 4.2 安全测试13 5. 实际测试工作14 5.1 QA 测试14 5.2 Local 测试14 0 1. WEB 安全漏洞 通常是指由于WEB 程序本身体系结构、设计方法、开发编码的缺陷而造成 的安全漏洞. 2. 常见的10 种安全漏洞 （OWASPTOP10 ） OWASP(开放Web 应用安全项目组-OpenWebApplicationSecurityProject)每隔数年会更 新10 个最关键的Web 应用安全问题清单，即OWASPTOP10 。 2.1 注入 2.1.1 描述 注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一 些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器， 从而执行计划外的命令或者未授权访问数据。注入漏洞通常能在SQL查询、LDAP查询、 1 OS命令、程序参数等中出现 2.1.2 危害 注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚 至能导致完全接管主机。 2.1.3 案例 2.1.4 解决方法  使用安全的API ，避免使用解释器  对输入的特殊字符进行Escape 转义处理  使用白名单来规范化的输入验证方法 2 2.2 失效的身份认证和会话管理 2.2.1 描述 　　　与认证和会话管理相关的应用程序功能往往得不到正确管理，这就导致攻击者破坏 密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份。 2.2.2 危害 　　　这些漏洞可能导致部分甚至全部帐户遭受攻击。一旦攻击成功，攻击者能执行合法 用户的任何操作。因此特权帐户会造成更大的破坏。 2.2.3 案例 2.2.4 解决方法  使用内置的会话管理功能。  使用单一的入口点。  确保在一开始登录SSL保护的网页。 3  获取注销的权利；  添加超时；  确保你使用的是安全相关的功能；  使用强大的认证；  不进行默认身份验证 2.3 跨站脚本（XSS ） 2.3.1 描述 　　　跨站脚本是最普遍的web 应用安全漏洞。当应用程序在发送给浏览器的页面中包含 用户提供的数据，但没有经过适当验证或转译，就会导致跨站脚本漏洞。目前常见的3 中 XSS 漏洞：1）存储式；2 ）反射式；3 ）基于DOM 。 2.3.2 危害 　　　攻击者能在受害者浏览器中执行脚本以劫持用户会话、迫害网站、插入恶意内容、 重定向用户、使用恶意软件劫持用户浏览器等等。 2.3.3 案例 4 2.3.4 解决办法  对所有不可信的输入数据进行恰当的转义escape 。  使用白名单的具有恰当的规范化解码功能的输入验证方法.  使用内容安全策略(