OWASP TOP10

OWASP Web App TOP10是由开放式Web应用程序安全项目组织（OWASP）提出的“十大安全风险列表”，总结了Web应用程序最通用的十大安全风险，旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程，从而提高Web产品的安全性。

OWASP TOP10列表：

1.失效的访问控制（Broken Access Control）

2.加密机制失效（Cryptographic Failures）

3.注入

4.不安全设计

5.安全配置错误

6.自带缺陷和过时的组件

7.身份识别和身份验证错误

8.软件和数据完整性故障

9.安全日志和监控故障

10.服务端请求伪造（SSRF）

---

OWASP Web App TOP10先后经历了2013、2017、2019以及2021版本的变化，其中2021版引入了新的不安全设计、软件和数据完整性故障和服务端请求伪造：

1.失效的访问控制（Broken Access Control）

失败的访问控制通常会导致未经授权的信息泄露、修改或销毁所有数据、或在用户权限之外执行业务功能

常见的漏洞利用：

• 文件包含、目录遍历（../../../etc/passwd）

       (两者区别：目录遍历是文件本身，文件包含是显示在html页 面下的内容)

• 水平越权（权限绕过）

• 垂直越权（权限提升）

• 不安全直接对象的引用(''?id=1'改为'?id=2')

2.加密机制失效（Cryptographic Failures）

以前称为“敏感数据泄露”。“敏感数据泄露”更像是一种常见的表象问题而不是根本原因，这项风险重点是与加密机制相关的故障（或缺乏加密机制）。这往往会导致敏感数据泄露。

常见的漏洞利用：

• 明文传输

• 弱加密算法或过时的加密算法

3.注入

注入通常指在可输入参数的地方，通过构造恶意代码，进而威胁数据库安全以及Web安全等。

常见的漏洞利用：

• SQL注入

• 跨站脚本攻击（Cross-site Scripting）

4.不安全设计

不安全设计是一个广泛的类别，代表许多不同的弱点，表现为“缺失或无效的控制设计”。缺少不安全的设计是缺少控制的地方

常见的漏洞利用：

• 生成包含敏感信息的错误信息

5.安全配置错误

安全配置错误可以发生在一个应用程序堆栈的任何层面，包括平台，Web服务器，应用服务器，数据库，框架和自定义代码。

常见的漏洞利用：

• XXE（XML外部实体注入）

• 未安装补丁

• 默认账号密码未更改

6.自带缺陷和过时的组件

使用带有历史版本漏洞或版本过旧的组件，很容易遭受历史漏洞和0day的攻击。

常见的漏洞利用：

• log4j2远程命令执行漏洞

7.身份识别和身份验证错误

通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

常见的漏洞利用：

• 撞库

• 弱口令

• 暴力破解

8.软件和数据完整性故障

应用的运行代码以及应用发送的数据可能受到篡改

常见的漏洞利用：

• shrio反序列化漏洞

• fastjson反序列化漏洞

9.安全日志和监控故障

指没有正确使用或者没有使用日志记录和监控，进而无法正确检测或判断入侵等异常行为。

常见的漏洞利用：

• 日志没有备份导致黑客入侵后清除日志无法溯源

10.服务端请求伪造（SSRF）

服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。攻击者利用此漏洞由服务器发起恶意请求。常被利用于对内网的探测和攻击。

常见的漏洞利用：

• file 协议结合目录遍历读取文件。

• gopher 协议打开端口。（结合Redis）

• dict 协议主要用于结合 curl 攻击。

• http 协议进行内网探测