WEB十大安全隱患 --序

WEB十大安全隱患

OWASP TOP 10-2010

開放式Web應用程序安全項目（OWASP，Open Web Application Security Project）是一個組織，它提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息。其目的是協助我的、企業和機構來發現和使用可信賴軟件。http://www.owasp.org

OWASP發佈了最新的Web應用脆弱性的top 10，這是繼2007年OWASP對TOP10進行修訂後進行的又一次更改，該版本暫定爲OWASP TOP 10- 2010。在新版本的OWASP TOP10中主要由如下變化：

1. Top10的命名發生了變化。

原先的Top10全稱爲「The top 10 most critical web application security vulnerabilities」，即「Web應用的十大關鍵脆弱性」，如今Top10的全稱爲「The top 10 most critical web application security risks」，即「Web應用的十大關鍵風險」

2. OWASP Top 10的風險評估方法

       這次Top 10的評估是依據OWASP的風險評估方法來對OWASP TOP10排序的。

3. 替換了2個風險

       這次Top 10與2007年的Top 10相比，　在內容上去掉了「Malicious File Execution」(惡意文件執行)和「Information leakage and improper error handling」(信息泄露及不恰當的錯誤處理)，增長了「Security misconfiguration」(錯誤安全配置)和「Unvalidated redirects and forwards」(未驗證的重定向和傳遞)。

OWASP TOP10 2007	OWASP TOP10 2010
A2-注入	A1-注入
A1-跨站腳本（XSS）	A2-跨站腳本（XSS）
A7-錯誤的認證和會話管理	A3-錯誤的認證和會話管理
A4-不正確的直接對象引用	A4-不正確的直接對象引用
A5-僞造跨站請求（CSRF）	A5-僞造跨站請求（CSRF）
	A6-安全性誤配置
A10-限制遠程訪問失敗	A7-限制遠程訪問失敗
	A8-未驗證的重定向和傳遞
A8-不安全的加密存儲	A9-不安全的加密存儲
A9-不足的傳輸層保護	A10-不足的傳輸層保護
A3-惡意文件執行
A6-不安全的通信

OWASP風險評估方法

OWASP所選取的10大風險是依據OWASP的風險評估方法，咱們從標準的風險模型開始，即風險=可能性*後果，下面咱們以如下步驟來講明某個風險的嚴重程度：

第一步：識別風險

識別風險做爲評估的第一步，咱們必須找到與這個風險相關的威脅、相應的攻擊方法、隱含在裏面的脆弱性以及最終可能形成的後果，固然可能存在多種攻擊方法和多種後果，在評估時咱們每每會採用最壞選擇，這樣就能更客觀的反應該風險的最終評級；

第二步：考慮影響可能性的因素

一般，咱們不可能很精準的說出某個風險的可能性數值，因此咱們通常用高、中、低來表示，並且影響某個風險的可能性的因素有不少，對於每一個因素咱們用0到9的數值來表示。

類別	因素	分項	分值
威脅	技能要求	無需技能	1
須要一些技術	3
高級的計算機用戶	4
須要網絡和編程技術	6
安全滲透技術	9
成功攻擊後攻擊者的益處	很低或無益	1
可能會有回報	4
高回報	9
所需資源或機會	須要很大資源或高權限訪問	0
須要特定的訪問權限和特定的資源	4
須要一些訪問權限和資源	7
無需權限或資源	9
所需的攻擊者的角色	開發者	2
系統管理員	2
內部用戶	4
合做夥伴	5
認證用戶	6
匿名Internet用戶	9
脆弱性	發現該弱點的難易度	技術上不可行	1
困難	3
容易	7
可用自動化工具發現	9
利用該弱點的難易度	只是理論上的	1
困難	3
容易	5
可用自動化工具實現	9
該弱點的流行度	鮮爲人知	1
隱藏	4
明顯	6
公衆皆知	9
入侵被察覺的可能性	應用程序主動檢測	1
記錄日誌並審覈	3
記錄日誌未審覈	8
無日誌	9

第三步：考慮影響後果的因素

在考慮攻擊後果的時候，咱們會考慮兩種後果，一種是應用的「技術後果」，它所使用的數據，提供的功能等等，另外一種就是它的「商業後果」，顯而後者則更爲重要，但每每後者難以估量，因此咱們須要儘量從技術上去考慮，進而來估計後者的數據。

類別	因素	分項	分值
技術後果	保密性損失	不多的非敏感的數據泄漏	2
不多的敏感數據泄漏	6
大量的非敏感數據泄漏	6
大量的敏感數據泄漏	9