日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
什么是OWASPTop10?Web安全必讀

除了關(guān)注業(yè)務(wù)本身外,越來越多的企業(yè)也開始關(guān)注web安全。Web安全領(lǐng)域我們經(jīng)常看到OWASP Top 10,那么什么是OWASP Top 10呢?它跟Web有什么關(guān)系呢?

創(chuàng)新互聯(lián)建站10多年企業(yè)網(wǎng)站設(shè)計服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及高端網(wǎng)站定制服務(wù),企業(yè)網(wǎng)站設(shè)計及推廣,對成都封陽臺等多個方面擁有豐富的網(wǎng)站營銷經(jīng)驗的網(wǎng)站建設(shè)公司。

OWASP(開放式Web應(yīng)用程序安全項目)是一個開源的、非營利性的全球性安全組織,致力于改進Web應(yīng)用程序的安全,這個組織最出名是,它總結(jié)了10種最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險,警告全球所有的網(wǎng)站擁有者,應(yīng)該警惕這些最常見、最危險的漏洞。

這就是著名的OWASP Top 10。

OWASP Top 10包括:注入、失效身份驗證和會話管理、敏感信息泄露、XML外部實體注入攻擊(XXE)、存取控制中斷、安全性錯誤配置、跨站腳本攻擊(XSS)、不安全的反序列化、使用具有已知漏洞的組件、日志記錄和監(jiān)控不足。

注入

當(dāng)Web應(yīng)用程序缺乏對使用的數(shù)據(jù)進行驗證和清理的時候,極易發(fā)生注入攻擊。著名的注入攻擊有SQL注入、NoSQL注入、OS注入等。注入攻擊會導(dǎo)致數(shù)據(jù)丟失和被破壞,甚至主機被黑客完全接管。

失效身份驗證和會話管理

失效身份驗證和會話管理主要發(fā)生在Web應(yīng)用程序身份驗證環(huán)節(jié),身份驗證機制出現(xiàn)邏輯問題便會出現(xiàn)此類問題。黑客會利用身份驗證漏洞,嘗試控制系統(tǒng)中的賬戶,一旦操作成功,他便能合法的進行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最廣泛的Web應(yīng)用程序問題,Web應(yīng)用程序、API未加密,或者無法準(zhǔn)確保護敏感信息,均會導(dǎo)致個人信息、密碼等敏感信息泄露,被黑客出售給第三人,或用于違法犯罪目的。

XML外部實體注入攻擊(XXE)

這種攻擊主要針對解析XML輸入的Web應(yīng)用程序。弱配置的XML解析器處理包含外部實體引用的XML輸入時,就會發(fā)生XXEE攻擊。黑客會利用這個漏洞竊取URI文件處理器的內(nèi)部文件和共享文件,從而監(jiān)聽或執(zhí)行遠程代碼,或發(fā)動拒絕服務(wù)攻擊。

存取控制中斷

如果對已經(jīng)身份驗證通過的用戶,沒有實施合適的訪問權(quán)限控制,那么攻擊者便可以通過這個漏洞,去使用未經(jīng)授權(quán)的功能,以及查看未經(jīng)授權(quán)的數(shù)據(jù),例如訪問用戶的賬戶、查看敏感文件等等。

安全性錯誤配置

操作者使用默認(rèn)配置、臨時配置、開源云存儲、http標(biāo)頭配置等不當(dāng)配置,攻擊者便會利用這些錯誤配置,獲得更高的權(quán)限。安全性錯誤配置是最常見的漏洞之一,攻擊難度低。攻擊者可使用自動化程序發(fā)動攻擊,極其危險。

跨站腳本攻擊(XSS)

黑客將惡意的客戶端腳本注入到目標(biāo)網(wǎng)站,并將該網(wǎng)站用作傳播方法。攻擊者發(fā)動XSS攻擊后,受害網(wǎng)站的顯示方式會被黑客控制,網(wǎng)站會被黑客重定向至新頁面,或者顯示廣告、違法犯罪等內(nèi)容。

不安全的反序列化

攻擊程序會嘗試在不進行任何驗證的情況下,對數(shù)據(jù)進行反序列化,不安全的反序列化會導(dǎo)致遠程代碼執(zhí)行、重放攻擊、注入攻擊等。

使用具有已知漏洞的組件

如果Web應(yīng)用程序含有已知的漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)或接管服務(wù)器。Web應(yīng)用程序所使用的框架、庫或者其他軟件模塊,會破壞應(yīng)用程序的防御,造成更為嚴(yán)重的后果。

日志記錄和監(jiān)控不足

日志記錄和監(jiān)控是一種有效的防范手段,它能在發(fā)送問題時,幫助你迅速采取行動,如果應(yīng)用程序日志記錄和監(jiān)控不足,黑客能進一步控制系統(tǒng),造成更大、更長遠的危害。


分享題目:什么是OWASPTop10?Web安全必讀
標(biāo)題來源:http://www.5511xx.com/article/ccidopd.html