开放 Web 应用程序安全项目 (OWASP) 是一个面向社区的组织,旨在提高编程的安全性。OWASP 的一个重要特点是其程序在其网站上公开,任何人都可以保护自己的个人 Web 应用程序。他们提供的材料包括文档、机械组件、录音和帐户。然而,他们最受欢迎的项目是 OWASP Top 10。
OWASP Top 10 的核心原则
内容[显示]
OWASP Top 10 是一份定期更 whatsapp 号码数据 新的报告,阐述了 Web 应用程序安全的安全问题,涵盖了 10 个最基本的威胁。该报告由来自世界各地的安全专家团队编写。OWASP 将 Top 10 称为“意识报告”,他们建议所有组织将报告整合到他们的系统中,以限制和缓解安全攻击。
以下是OWASP Top 10 解决方案的应用程序漏洞以及阻止或修复这些漏洞的最佳实践。
1. 注射
注入错误,例如 SQL 注入、LDAP 注 要完成的培训课程 入和 CRLF 注入,发生在程序员向中介发送有问题的数据,并且该数据在未经适当同意的情况下作为请求传递时。应用程序安全测试可以轻松识别注入缺陷。
2. 身份验证和会话管理失效
错误选择的用户和会话验证可能会让黑客窃 英国电话号码 取密码、密钥或会话令牌,或控制用户的网络帐户以窃取其机密信息。多方面验证(例如 FIDO 或专用应用程序)可降低应用程序风险。
3.敏感数据泄露
不保护敏感数据(例如财务数据、用户名和密码)的应用程序和 API 可能会让攻击者查看此类信息,从而提交虚假信息或冒充他人身份。即时和过程中的数据加密可以帮助您遵守数据安全规则。
4. XML 外部实体
开发不良的 XML 处理器可以访问 XML 文档中的外部元素引用。攻击者可以利用外部元素进行攻击,包括远程代码执行,以及发现数据和 SMB 文件共享。静态应用程序安全测试 (SAST) 可以通过观察条件和计划来检测此问题。
5. 访问控制失效
对已批准客户的限制设计不当或缺失,允许他们获取未批准的数据,例如,获取其他客户的记录、查看机密报告以及修改数据和访问权限。可以进行渗透测试以识别未经批准的控制。
6. 安全配置错误
这种威胁意味着错误地执行了旨在保护应用程序数据的控制措施,例如安全标头配置错误、包含导入数据的垃圾邮件以及未规划或更新框架、系统和组件。动态应用程序安全测试 (DAST) 可以识别错误配置,例如损坏的 API。
7. 跨站点脚本
跨页面脚本 (XSS) 漏洞使攻击者能够将客户端数据混入应用程序,例如将用户引导至不受保护的站点。开发人员培训补充了安全测试,以帮助软件开发人员使用最佳的编码规范程序(例如编码数据和数据批准)来防止跨站点脚本。
8.不可靠的反序列化
问题可能使黑客能够远程执行应用程序中的代码、修改或删除序列化(写入磁盘)对象、发起攻击并获取收益。应用程序安全工具可以识别反序列化问题,但大部分时间都需要进行入口测试才能确认问题。
9.利用已知漏洞的组件
开发人员通常不知道其应用程序中有哪些开源和第三方组件,因此在发现新漏洞时很难更新组件。黑客可以利用未知组件来控制服务器或窃取个人信息。软件组织分析与静态分析同时进行,可以识别未知类型的组件。
10.缺乏日志记录和监控
识别漏洞的机会通常需要数周或数月的时间才能确定。日志记录不足以及与安全事件响应框架的无效结合使黑客可以转向不同的框架并进行频繁攻击。采用黑客的思维方式并使用渗透测试来查看您是否有足够的观察力;渗透测试后检查您的日志。