web运用安全编码.pptVIP

2010 OWASP TOP10-NO.6 A6 安全配置错误 Security Misconfiguration 好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台，定义和执行安全配置。由于许多设置的默认值并不是安全的，因此，必须定义、实施和维护所有这些设置。这包含了对所有的软件保持及时地更新，包括所有应用程序的库文件 管理员在服务器安全配置上的疏忽，通常会导致攻击者非法获取信息、篡改内容，甚至控制整个系统。 实例： 2010 OWASP TOP10-NO.6 Web文件/SQL数据库文件不存放在系统盘上 严格检查所有与验证和权限有关的设定 权限最小化 主要防范措施 2010 OWASP TOP10-NO.5 A5 跨站请求伪造 CSRF-Cross Site Request Forgery 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，发送到一个存在漏洞的web应用程序。 这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求 攻击者构造恶意URL请求，然后诱骗合法用户访问此URL链接，以达到在Web应用中以此用户权限执行特定操作的目的。 和反射型XSS的主要区别是：反射型XSS的目的是在客户端执行脚本；CSRF的目的是在Web应用中执行操作。 实例： 2010 OWASP TOP10-NO.5 避免在URL中明文显示特定操作的参数内容 使用同步令牌（Synchronizer Token）,检查客户端请求是否包含令牌及其有效性 检查RefererHeader，拒绝来自非本网站的直接URL请求 主要防范措施 2010 OWASP TOP10-NO.4 A4 不安全的对象直接引用 Insecure Direct Object Reference 当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据 服务器上具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中，攻击者可以此来尝试直接访问其他资源。 实例： 防范措施范措施 避免在URL或网页中直接引用内部文件名或数据库关键字 可使用自定义的映射名称来取代直接对象名/online/getnews.asp?item=11 锁定网站服务器上的所有目录和文件夹，设置访问权限 验证用户输入和URL请求，拒绝包含./或../的请求 主要防范措施 2010 OWASP TOP10-NO.3 A3 身份认证和会话管理不当 Broken Authentication and Session Management 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份 用户凭证和Session ID是Web应用中最敏感的部分，也是攻击者最想获取的信息。 攻击者会采用网络嗅探、暴力破解、社会工程等手段尝试获取这些信息。 实例： 2010 OWASP TOP10-NO.3 用户密码强度（普通：6字符以上；重要：8字符以上；极其重要：使用多种验证方式） 不使用简单或可预期的密码恢复问题 登录出错时不给过多提示 对多次登录失败的帐号进行短时锁定 验证成功后更换Session ID 使用128位以上有足够随机性的Session ID 设置会话闲置超时（可选会话绝对超时） 保护Cookie（Secure flag/HTTPOnlyflag) 不在URL中显示Session ID 主要防范措施 2010 OWASP TOP10-NO.2 A2 跨站脚本 XSS-Cross Site Scripting 当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站 Web浏览器可以执行HTML页面中嵌入的脚本命令，支持多种语言类型 (JavaScript, VBScript, ActiveX, etc.)，其中最主要的是JavaScript. 攻击者制造恶意脚本，并通过Web服务器转发给普通用户客户端，在其浏览器中执行。到达盗取用户身份、拒绝服务攻击、篡改网页、模拟用户身份发起请求或执行命令等 可分为两种类型：反射型、存储型 实例： 2010 OWASP TOP10-NO.2--存储XSS攻击 1. 正常服务器信息 2. 服务器存储恶意代码 3. 用户浏览网页 4. 服务器将恶意代码返回给用户