- Web应用的安全问题概述
- 一、Web应用的概念
- 二、什么环节中可能会出现安全问题?
- 三、有哪些安全问题?
- 1.WASC组织定义的6大类安全问题
- 2.OWASP组织发布的Web应用十大安全隐患
一、Web应用的概念
Web应用是由动态脚本、编译过的代码等组合而成、通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,由Web应用和企业后台的数据库及其他动态内容通信
Web应用程序是一种可以通过Web访问的应用程序,程序的最大好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件
是B/S架构(即浏览器端/服务器端)应用程序,一般需要借助浏览器来运行
二、什么环节中可能会出现安全问题?
Web应用通常是标准的三层架构模型:
Web层和业务逻辑层之间可能会出现安全问题:因为我们在Web层发起HTTP请求,一旦在Web层出现某些安全漏洞,就会在发起HTTP请求的过程中导致某些参数、内容出现错误
三、有哪些安全问题? 1.WASC组织定义的6大类安全问题
WASC——Web Application Security Consortium:是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体,负责为WWW制定被广为接受的应用安全标准
| 类型 | 描述 |
|---|---|
| Authentication(验证) | 用来确认某用户、服务或是应用身份的攻击手段 |
| Authorization(授权) | 即Session会话方面,用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段 |
| Client-Side Attacks(客户端攻击) | 用来扰乱或是探测Web站点用户的攻击手段 |
| Command Execution(命令执行) | 在Web站点上执行远程命令的攻击手段 |
| Information Disclosure(信息泄露) | 用来获取Web站点具体系统信息的攻击手段 |
| Logical Attacks(逻辑性攻击) | 用来扰乱或是探测Web应用逻辑流程的攻击手段 |
OWASP——Open Web Application Security Project:该组织致力于发现和解决不安全Web应用的根本原因,特色是他们每年会发布一个 “Web应用的十大安全隐患”
| 类型 | 描述 |
|---|---|
| A1:2017-注入 | 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生注入SQL注入、NoSQL注入、OS注入和LDAP注入缺陷 |
| A2:2017-失效的身份认证 | 通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌 |
| A3:2017-敏感数据泄露 | 许多Web程序和API都无法正确保护敏感数据、攻击者可通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃等犯罪行为 |
| A4:2017-XML外部实体(XXE) | 许多较早的或配置错误的XML处理器评估的XML文件中的外部实体引用,攻击者可利用外部实体窃取内部文件、执行远程代码 |
| A5:2017-失效的访问控制 | 未对通过身份验证的用户实施恰当的访问控制 |
| A6:2017-安全配置错误 | 安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云错误等造成 |
| A7:2017-跨站脚本(XSS) | XSS让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点 |
| A8:2017-不安全的反序列化 | 不安全的反序列化会导致远程代码执行 |
| A9:2017-使用含有已知漏洞的组件 | 组件如库、框架和其他软件模块拥有和应用程序相同的权限 |
| A10:2017-不足的日志记录和监控 | 不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性、篡改、提取或销毁数据 |
