常见安全漏洞机制与防护.pptxVIP

常见安全漏洞机制与防护OWASP Top 10 安全漏洞常见应用安全漏洞的防范目 录01OWASP Top 10 安全漏洞05失效的访问控制03敏感信息泄露04XML外部实体(XXE)01注入02失效的身份认证10不足的日志记录和监控08不安全的反序列化09使用含有已知漏洞的组件06安全配置错误07跨站点脚本(XSS)在线演示、素材销售、服务交易系统注入将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。失效的身份认证通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌暂时性或永久性冒充其他用户的身份。敏感数据泄露1、窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃2、传输过程中的数据、存储的数据以及浏览器的交互数据。XML外部实体(XXE)利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。失效的访问控制1、利用或数据访问控制访问未授权功能2、访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。安全配置错误 1、破坏应用程序防御、造成各种攻击 2、造成严重的数据丢失或服务器接管跨站点脚本(XSS)1、不受信任的、未经恰当验证或转义的数据2、浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。不安全的反序列化 1、远程代码执行2、重播攻击、注入攻击、特权升级攻击序列化：把对象转换为字节序列的过程称为对象的序列化。反序列化：把字节序列恢复为对象的过程称为对象的反序列化。使用含有已知漏洞的组件 1、破坏应用程序防御、造成各种攻击 2、造成严重的数据丢失或服务器接管不足的日志记录和监控 1、篡改、提取或销毁数据2、攻击者能够进一步攻击系统、保持持续性或转向更多系统02常见应用安全漏洞的防范SQL注入跨站点脚本攻击跨站点请求伪造点击劫持功能级访问控制缺失文件上传漏洞SQL注入 SQL注入，就是通过把SQL命令插入到Web表单提交，或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。username=request.form(login_nm)password=request.form(login_pw)sql=select * from users where USERNAME=username and PASSWORD= password set rs=conn.execute(sql) or (1=1) --; drop table XX--举个栗子：危害：查看、修改或者删除数据库条目和表，甚至获得数据库管理员权限SQL注入的防范过滤用户输入参数化查询，PreparedStatement避免在页面显示SQL错误信息对用户输入数据进行格式和长度限制失效的身份认证攻击者只需要访问几个帐户，或者只需要一个管理员帐户就可以破坏系统。根据应用程序领域的不同， 可能会导致放任洗钱、社会安全欺诈 以及用户身份盗窃、泄露法律高度保 护的敏感信息。 攻击案例场景：场景#1:凭证填充，使用密码列表，直到它们可能与现有帐户相匹配，攻击者可以劫持以达到自己的目的。场景#2:应用会话超时设置不正确。用户使用公共计算机访问应 用程序。用户直接关闭浏览器选项卡就离开，而不是选择“注销”。攻击者一小时后使用同一个浏览器浏览网页，而当前用户状态仍然是经过身份验证的。危害：1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力攻击者只需要访问几个帐户，或者只 需要一个管理员帐户就可以破坏系统。根据应用程序领域的不同， 可能会导致放任洗钱、社会安全欺诈 以及用户身份盗窃、泄露法律高度保 护的敏感信息。 失效的身份认证防范在可能的情况下，实现多因素身份验证，以防止自动、凭证填充、暴力破解和被盗凭据再利用攻击。1、不要使用发送或部署默认的凭证，特别是管理员用户。2、执行弱密码检查，例如测试新或变更的密码，以纠正“排名前10000个弱密码” 列表。3、确认注册、凭据恢复和API路径，通过对所有输出使用相同的消息，用以抵御账户枚举攻击。4、限制或逐渐延迟失败的登录尝试。记录所有失败信息结果并在凭据填充、暴力破解或其他攻击被检测时提醒管理员。5、使用服务器端安全的内置会话管理器，在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中，可以安全地存储和当登出 闲置、绝对超时后使其失效。敏感信息泄露保护与加密敏感数据已经成为网络应用的最重要的组成部分。最常见的漏洞是应该进行加密的数据没有进行加密。使用加密的情况下常见