10 個最常見的 Web 安全漏洞 · Guru99 中文系列教程

# 10 個最常見的 Web 安全漏洞 > 原文： [https://www.guru99.com/web-security-vulnerabilities.html](https://www.guru99.com/web-security-vulnerabilities.html) OWASP 或 Open Web Security Project 是一個非營利性慈善組織，致力于改善軟件和 Web 應用程序的安全性。該組織根據來自各種安全組織的數據發布最重要的 Web 安全漏洞列表。根據可利用性，可檢測性和對軟件的影響，對 Web 安全漏洞進行優先級排序。 * **Exploitability –** 利用此安全漏洞需要什么？攻擊僅需要 Web 瀏覽器時可利用性最高，而高級編程和工具則可利用性最低。 * **Detectability –** 檢測威脅有多容易？最高的是顯示在 URL，表單或錯誤消息上的信息，最低的是源代碼。 * **Impact or Damage –** 如果安全漏洞暴露或受到攻擊，將會造成多少損失？最高的是完整的系統崩潰，最低的則什么都沒有。 OWASP Top 10 的主要目的是教育開發人員，設計人員，經理，架構師和組織有關最重要的安全漏洞。 **根據 OWASP Top 10 排名前 10 位的安全漏洞是**： * [SQL 注入](#1) * [跨站點腳本](#2) * [身份驗證和會話管理中斷](#3) * [不安全的直接對象引用](#4) * [跨站請求偽造](#5) * [安全配置錯誤](#6) * [不安全的密碼存儲](#7) * [無法限制 URL 訪問](#8) * [傳輸層保護不足](#9) * [無效的重定向和轉發](#10) ## SQL 注入 ![10 Most Common Web Security Vulnerabilities](https://img.kancloud.cn/26/6a/266a676027b9ee81cf0af5d6c1d178ce_500x433.png "10 Most Common Web Security Vulnerabilities") **說明** 注入是一個安全漏洞，攻擊者可以通過操作用戶提供的數據來更改后端 [SQL](/sql.html) 語句。當用戶輸入作為命令或查詢的一部分發送到解釋器并誘使解釋器執行意外命令并提供對未授權數據的訪問時，就會發生注入。當由 Web 應用程序執行時，SQL 命令還可以公開后端數據庫。 **含義** * 攻擊者可以將惡意內容注入易受攻擊的字段。 * 可以從數據庫中讀取諸如用戶名，密碼等敏感數據。 * 可以修改數據庫數據（插入/更新/刪除）。 * 可以在數據庫上執行管理操作 **易受攻擊的對象** * 輸入欄位 * 與數據庫交互的 URL。 **示例**： * 登錄頁面上的 SQL 注入沒有有效的憑據登錄到應用程序。有效的用戶名可用，而密碼不可用。測試網址： **http://demo.testfire.net/default.aspx** 用戶名：sjones 密碼：1 = 1'或 pass123 創建 SQL 查詢，并將其發送到以下解釋器 SELECT * FROM Users where User_Name = sjones AND Password = 1 = 1'或 pass123; **建議** 1. 白色列出輸入字段 2. 避免顯示對攻擊者有用的詳細錯誤消息。 ## 跨站點腳本 **Description** 跨站點腳本編制也簡稱為 XSS。 XSS 漏洞的目標是嵌入頁面的腳本，這些腳本在客戶端即用戶瀏覽器而非服務器端執行。當應用程序獲取不受信任的數據并將其發送到 Web 瀏覽器而沒有適當的驗證時，可能會出現這些缺陷。攻擊者可以使用 XSS 在用戶（在這種情況下為受害者瀏覽器）上執行惡意腳本。由于瀏覽器無法知道腳本是否可信，因此腳本將被執行，攻擊者可以劫持會話 cookie，破壞網站或將用戶重定向到不需要的惡意網站。 XSS 是一種攻擊，它使攻擊者可以在受害者的瀏覽器上執行腳本。 **含義**： * 利用此安全漏洞，攻擊者可以將腳本注入到應用程序中，可以竊取會話 Cookie，破壞網站并可以在受害者的計算機上運行惡意軟件。 **Vulnerable Objects** * 輸入欄位 * 網址 **范例** 1\. **http://www.vulnerablesite.com/home？“ <腳本> alert（” xss“）< / script** > 在瀏覽器上運行上述腳本時，如果該站點容易受到 XSS 攻擊，則會顯示一個消息框。如果攻擊者想要顯示或存儲會話 cookie，則可以進行更嚴重的攻擊。 2\. **http://demo.testfire.net/search.aspx?txt 搜索< iframe** > < src = **http://google.com** 寬度= 500 高度 500 > < / iframe > 上面的腳本運行時，瀏覽器將加載一個指向 **http://google.com** 的不可見框架。通過在瀏覽器上運行惡意腳本，可以使攻擊更加嚴重。 **Recommendations** 1. 白名單輸入字段 2. 輸入輸出編碼 ## 身份驗證和會話管理中斷 **Description** 網站通常會為每個有效會話創建一個會話 cookie 和會話 ID，并且這些 cookie 包含敏感數據，例如用戶名，密碼等。當會話因注銷或瀏覽器突然關閉而結束時，這些 cookie 應該無效，即對于每個會話應該有一個新的 cookie。如果 cookie 沒有失效，則敏感數據將存在于系統中。例如，使用公共計算機（Cyber?? Cafe）的用戶，易受攻擊站點的 cookie 位于系統上并暴露給攻擊者。一段時間后，攻擊者使用同一臺公共計算機，敏感數據被破壞。以相同的方式，用戶使用公用計算機而不是注銷，而是突然關閉瀏覽器。攻擊者使用相同的系統，當瀏覽相同的漏洞站點時，將打開受害者的上一個會話。攻擊者可以通過竊取個人資料信息，信用卡信息等來做他想做的一切。應該進行檢查以發現認證和會話管理的強度。密鑰，會話令牌，Cookie 應該正確實現，而不會損害密碼。 **Vulnerable Objects** * URL 上顯示的會話 ID 可能導致會話固定攻擊。 * 注銷和登錄前后的會話 ID 相同。 * 會話超時未正確實現。 * 應用程序為每個新會話分配相同的會話 ID。 * 應用程序的已驗證部分使用 SSL 保護，密碼以哈希或加密格式存儲。 * 特權低的用戶可以重用該會話。 **Implication** * 利用此漏洞，攻擊者可以劫持會話，獲得對系統的未經授權的訪問，從而允許泄露和修改未經授權的信息。 * 使用被盜的 Cookie 或使用 XSS 的會話可以使會話陷入困境。 **Examples** 1. Airline reservation application supports URL rewriting, putting session IDs in the URL: **http://Examples.com/sale/saleitems;jsessionid=2P0OC2oJM0DPXSNQPLME34SERTBG/dest=馬爾代夫**（馬爾代夫門票銷售）該網站的經過身份驗證的用戶希望讓他的朋友知道這筆交易，并向其發送電子郵件。朋友會收到會話 ID，并可用于未經授權的修改或濫用已保存的信用卡詳細信息。 2. 應用程序容易受到 XSS 的攻擊，攻擊者可以通過 XSS 來訪問會話 ID，并且可以使用該劫持會話。 3. 應用程序超時設置不正確。用戶使用公共計算機并關閉瀏覽器，而不是注銷然后走開。攻擊者稍后會使用相同的瀏覽器，并且會話已通過身份驗證。 **Recommendations** 1. 所有身份驗證和會話管理要求都應按照 OWASP 應用程序安全驗證標準進行定義。 2. 切勿在 URL 或日志中公開任何憑據。 3. 還應盡力避免 XSS 漏洞，這些漏洞可用于竊取會話 ID。 ## 不安全的直接對象引用 **Description** 當開發人員以 URL 或 FORM 參數的形式公開引用內部實現對象（例如文件，目錄或數據庫鍵）時，就會發生這種情況。攻擊者可以使用此信息來訪問其他對象，并且可以創建將來的攻擊來訪問未經授權的數據。 **Implication** * 使用此漏洞，攻擊者可以訪問未經授權的內部對象，修改數據或破壞應用程序。 **易受攻擊的對象** * 在 URL 中。 **Examples:** 在以下 URL 中更改“用戶 ID”可以使攻擊者查看其他用戶的信息。 **http://www.vulnerablesite.com/userid=123** 修改為 **http://www.vulnerablesite.com/userid=124** 攻擊者可以通過更改用戶 ID 值來查看其他信息。 **建議**： 1. 實施訪問控制檢查。 2. 避免在 URL 中公開對象引用。 3. 驗證對所有參考對象的授權。 ## 跨站請求偽造 **Description** 跨站點請求偽造是來自跨站點的偽造請求。 CSRF 攻擊是一種惡意網站，電子郵件或程序導致用戶的瀏覽器在當前已對其進行身份驗證的受信任站點上執行有害操作時發生的攻擊。 CSRF 攻擊迫使登錄的受害者的瀏覽器向易受攻擊的 Web 應用程序發送偽造的 HTTP 請求（包括受害者的會話 cookie 和其他任何自動包含的身份驗證信息）。當用戶在登錄原始網站時單擊 URL 時，攻擊者將向受害者發送鏈接，該數據將從網站中竊取。 **Implication** * 使用此漏洞作為攻擊者可以更改用戶配置文件信息，更改狀態，代表管理員創建新用戶等。 **Vulnerable Objects** * 用戶個人資料頁面 * 用戶帳號表格 * 商業交易頁面 **Examples** 使用有效憑據將受害者登錄到銀行網站。他收到攻擊者的郵件，信中說：“請點擊此處捐贈 1 美元來造成損失。” 當受害者單擊它時，將創建一個有效的請求以向特定帳戶捐贈 1 美元。 **http://www.vulnerablebank.com/transfer.do?account=原因&金額= 1** 攻擊者捕獲此請求并創建以下請求，并將其嵌入按鈕“我支持原因”中。 **http://www.vulnerablebank.com/transfer.do?account=攻擊者&金額= 1000** 由于會話已通過身份驗證，并且請求通過銀行網站發出，因此服務器將向攻擊者轉移 1000 美元。 **建議** 1. 在執行敏感操作時授權用戶的狀態。 2. 實現諸如 CAPTCHA，重新認證和唯一請求令牌之類的機制。 ## 安全配置錯誤 **Description** 必須為應用程序，框架，應用程序服務器，Web 服務器，數據庫服務器和平臺定義和部署安全配置。如果配置正確，攻擊者可能會未經授權訪問敏感數據或功能。有時，此類缺陷會導致完整的系統危害。使軟件保持最新也是很好的安全性。 **Implication** * 利用此漏洞，攻擊者可以枚舉底層技術和應用程序服務器版本信息，數據庫信息，以及獲取有關應用程序的信息，以發起更多的攻擊。 **易受攻擊的對象** * 網址 * 表格欄位 * 輸入欄位 **Examples** 1. 應用程序服務器管理控制臺將自動安裝并且不會刪除。默認帳戶不會更改。攻擊者可以使用默認密碼登錄并獲得未經授權的訪問。 2. 服務器上未禁用目錄列表。攻擊者可以發現并且可以簡單地列出目錄以查找任何文件。 **Recommendations** 1. 一個強大的應用程序體系結構，可在組件之間提供良好的隔離和安全性。 2. 更改默認的用戶名和密碼。 3. 禁用目錄列表并實施訪問控制檢查。 ## 不安全的密碼存儲 **Description** 不安全的密碼存儲是一個常見的漏洞，當敏感數據沒有安全存儲時就會存在。用戶憑據，個人資料信息，健康詳細信息，信用卡信息等位于網站上的敏感數據信息之下。該數據將存儲在應用程序數據庫中。如果不使用加密或哈希*不正確地存儲此數據，則攻擊者很容易受到攻擊。（*散列是將字符串字符轉換為固定長度的較短字符串或密鑰。要解密該字符串，應使用用于形成密鑰的算法） **Implication** * 通過使用此漏洞，攻擊者可以竊取，修改受保護程度不強的數據，以進行身份??盜用，信用卡欺詐或其他犯罪。 **Vulnerable objects** * 應用程序數據庫。 **Examples** 在銀行業務應用程序之一中，密碼數據庫使用無鹽哈希*存儲每個人的密碼。 SQL 注入漏洞使攻擊者可以檢索密碼文件。所有未加鹽的哈希值都可以立即被強行使用，而加鹽的密碼將花費數千年。（*未加鹽的哈希-Salt 是隨機數據附加在原始數據上。Salt 在散列之前附加在密碼上） **Recommendations** 1. 確保適當的強大標準算法。不要創建自己的密碼算法。僅使用認可的公共算法，例如 AES，RSA 公共密鑰加密和 SHA-256 等。 2. 確保對場外備份進行加密，但是對密鑰進行單獨管理和備份。 ## 無法限制 URL 訪問 **Description** Web 應用程序在呈現受保護的鏈接和按鈕之前會檢查 URL 訪問權限。每次訪問這些頁面時，應用程序都需要執行類似的訪問控制檢查。在大多數應用程序中，特權頁面，位置和資源不會顯示給特權用戶。通過明智的猜測，攻擊者可以訪問特權頁面。攻擊者可以訪問敏感頁面，調用功能并查看機密信息。 **Implication** * 利用此漏洞，攻擊者可以訪問未經授權的 URL，而無需登錄應用程序并利用此漏洞。攻擊者可以訪問敏感頁面，調用功能并查看機密信息。 **易受攻擊的對象**： * 網址 **Examples** 1. 攻擊者注意到 URL 將該角色指示為“ / user / getaccounts”。他修改為“ / admin / getaccounts”。 2. 攻擊者可以將角色附加到 URL。 **http://www.vulnerablsite.com** 可以修改為 **http://www.vulnerablesite.com/admin** **Recommendations** 1. 實施嚴格的訪問控制檢查。 2. 身份驗證和授權策略應基于角色。 3. 限制訪問不需要的 URL。 ## 傳輸層保護不足 **Description** 處理用戶（客戶端）和服務器（應用程序）之間的信息交換。應用程序經常通過網絡傳輸敏感信息，例如身份驗證詳細信息，信用卡信息和會話令牌。通過使用弱算法或使用過期或無效的證書，或者不使用 SSL，可以使通信暴露給不受信任的用戶，這可能危及 Web 應用程序和/或竊取敏感信息。 **Implication** * 利用此 Web 安全漏洞，攻擊者可以嗅探合法用戶的憑據并獲得對應用程序的訪問權限。 * 可以竊取信用卡信息。 **Vulnerable objects** * 通過網絡發送的數據。 **Recommendations** 1. 啟用安全 HTTP 并僅通過 HTTPS 強制執行憑證傳輸。 2. 確保您的證書有效且未過期。 **Examples:** 1.一個不使用 SSL 的應用程序，攻擊者將僅監視網絡流量并觀察經過身份驗證的受害者會話 cookie。攻擊者可以竊取該 Cookie 并進行中間人攻擊。 ## 未經驗證的重定向和轉發 **Description** 該 Web 應用程序使用幾種方法將用戶重定向并轉發到其他頁面以達到預期目的。如果在重定向到其他頁面時沒有適當的驗證，則攻擊者可以利用此方法，并將受害者重定向到網絡釣魚或惡意軟件站點，或使用轉發來訪問未經授權的頁面。 **Implication** * 攻擊者可以向用戶發送包含真實 URL 的 URL，該 URL 附加了經過編碼的惡意 URL。用戶只要看到攻擊者發送的 URL 的真實部分就可以對其進行瀏覽，并有可能成為受害者。 **Examples** 1\. **http://www.vulnerablesite.com/login.aspx?redirectURL=ownsite.com** 修改為 **http://www.vulnerablesite.com/login.aspx?redirectURL=evilsite.com** **Recommendations** 1. 只需避免在應用程序中使用重定向和轉發。如果使用，則在計算目標時不要涉及使用用戶參數。 2. 如果無法避免目標參數，請確保提供的值有效，并且已授權給用戶。 ***本文由 Prasanthi Eati 提供***