学习笔记_OWASP Top10_原理

Top1：注入

介绍

　　注入分类：

　　　　SQL注入

　　　　OS注入（命令执行）

Top2：失效的身份认证

介绍

　　身份认证和会话管理定义：

　　　　身份认证：

　　　　会话管理：

Top3：敏感数据泄露

介绍

　　产生原因：

　　　　1、传输过程中的密钥保护不足

　　　　2、服务器端文件明文数据权限控制不当

　　　　3、管理员安全性不高，使用弱密码

Top4：XML外部实体（XXE）

介绍

　　产生原因：

　　　　1、引用外部实体

　　　　2、用户提交的XML数据未过滤

Top5：无效的访问控制

介绍

　　访问控制：保护资源不被非法访问和使用，对应用于角色的访问控制

　　产生原因：

　　　　1、对于角色的访问权限控制不严格

　　　　2、JWT令牌持续生效

Top6：安全配置错误

介绍

　　产生原因：系统管理员安全配置错误，可以存在于应用程序的任何层面

Top7：跨站脚本攻击（XSS）

介绍

　　产生原因：管理员对用户输入过滤不足

　　XSS分类：

　　　　反射型XSS

　　　　存储型XSS

　　　　DOM型XSS

Top8：不安全的反序列化

介绍

　　序列化：有些时候我们会将应用程序中的数据以另一种格式表达，便于有序存储和网络传输，这个过程叫做序列化

　　反序列化：与序列化相反，当我们需要再次使用这些数据时，将格式转换回正常数据

　　产生原因：

　　　　1、对序列化对象的来源没有进行限制，导致恶意的序列化代码传入，被用于远程代码执行

　　　　2、对于反序列化的规则没有进行严格校验，导致被攻击者轻易饶过

Top9：使用含有已知漏洞的组件

介绍

　　产生原因：服务器所需要的组件有很多，管理员无法确保所有的组件都是最新的，以致于使用了存在漏洞的旧组件，被攻击者发现并且产生攻击

Top10：不足的日志记录和监控

介绍

　　日志记录：包括登录成功记录、登录失败记录、访问控制记录等，用于记录服务器的各种信息

　　产生原因：管理员对于日志的监控不足或响应不及时，导致攻击者的敏感操作没有被发现。比如没有登录失败记录，攻击者就可以尝试爆破登录，并且隐匿自己的行踪