• OWASP十大攻击类型详解


    随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。

    一、OWASP的安全威胁

    OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

    编号

    来源

    描述

    是否产

    生日志

    备注

    01

    OWASP

    Injection

    已定义特征

    02

    OWASP

    Broken Authentication and session Management

    统计分析

    03

    OWASP

    Cross-Site Scripting (XSS)

    已定义特征

    04

    OWASP

    Insecure Direct Object References

    已定义部分攻击特征+正确配置

    05

    OWASP

    Security Misconfiguration

    日志中不记录具体请求的内容信息

    06

    OWASP

    Sensitive Data Exposure

    日志中不记录具体请求的内容信息

    07

    OWASP

    Missing Function Level Access Control

    已定义部分攻击特征+正确配置

    08

    OWASP

    Cross-Site Request Forgery (CSRF)

    日志中不记录具体请求的内容信息

    09

    OWASP

    Using Components with Known Vulnerabilities

    已定义特征

    10

    OWASP

    Unvalidated Redirects and Forwards

    日志中不记录具体请求的内容信息

    二、分析规则

    2.1 Injection  注入

    来源

    WASC

    ID

    40

    检测方案

    特征匹配

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入

    已定义匹配规则

     

    2.2 失效的身份认证和会话管理

    2.2.1 Credential/Session ID Prediction

    来源

    WASC

    ID

    检测方案

    统计分析

    涉及字段

    IIS

    Client IP Address(c-ip)、需要cookie信息URI

    Apache

    host、需要cookie信息request

    分析方法

    统计同一源IP短时间内访问web的无效sessioncookie次数,如果超过一定的基线阈值则可以视为攻击。

    如果同一session ID在一定时间内,由不同client IP address在重用,则可以视为攻击。 

    URI中如出现大量sessionID字串的顺序出现

    2.2.2 会话超时设置不当

    来源

    WASC

    ID

    检测方案

    涉及字段

    IIS

    Client IP Address(c-ip)、需要cookie信息URI

    Apache

    host、需要cookie信息request

    分析方法

    根据会话需要,设置会话的过期时间,并且提供logout功能。

    2.3 Cross-Site Scripting (xss)跨站脚本

    来源

    WASC

    ID

    检测方案

    特征匹配

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    已定义匹配规则

     

    2.4 不安全的直接对象引用

    2.4.1 Path Traversal(pt) 路径遍历

    来源

    其他

    ID

    检测方案

    特征匹配

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    Detects basic directory traversal

    检测到路径遍历

    已定义规则

     

    2.4.2 水平越权

    来源

    其他

    ID

    检测方案

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    遍历用户id批量获取用户信息

    正确配置:判断用户的session id,是否具有访问或操作权限;

    id进行加密。

     

    2.5 安全配置错误

    来源

    WASC

    ID

    检测方案

    涉及字段

    IIS

    Client IP Address(c-ip)URIHTTP Status(sc-status)

    Apache

    hostrequeststatuscode

    分析方法

    默认配置漏洞容易被利用

    修改为安全的属性配置。最少使用模块配置,最少权限配置。

    2.6 敏感数据泄漏

    2.6.1 HTTPS传输

    来源

    其他

    ID

    58

    检测方案

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    页面传输使用https保护传输

     

    2.6.2 信息未加密

    来源

    其他

    ID

    59

    检测方案

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    对敏感信息进行加密。

    对用户来说,不用应用的密码设置为不同的,防止撞库。

     

    2.7 缺失级功能访问控制

    2.7.1 Sensitive Path Guess敏感路径猜测

    来源

    其他

    ID

    检测方案

    特征匹配

    目标字段

    IIS

    Ip referrer url status

    Apache

    Ip referrer url status

    分析方法

    是否访问了该服务器敏感目录如admin等管理后台.

    已定义规则。

    2.7.2 垂直权限缺失访问控制

    来源

    其他

    ID

    59

    检测方案

    目标字段

    IIS

    URI Query(cs-uri-query)

    Apache

    request

    分析方法

    属于业务设计缺陷的安全问题,

    正确配置:应当对访问控制加权限。

    2.9 The Third Party Components Access第三方组件访问

    来源

    其他

    ID

    检测方案

    特征匹配

    目标字段

    IIS

    URI  status

    Apache

    Request  status

    分析方法

    大多第三方组件曾出现过严重安全漏洞,且均存在缺失路径,如果对某组件出现过漏洞的路径进行访问,则有可能为攻击行为,包含的组件有在线编辑器ewebeditorfckeditor,其特征分别为eWebEditor、eWebEditor.mdbeditor/admin_login.aspfilemanagereditor/filemanager/browser等

     

     

  • 相关阅读:
    全国各地DNS(电信,移动,联通,教育网)
    全国各地电信DNS服务器地址
    免费公共 DNS 大全
    免费公共DNS服务器 全球DNS服务器 国内DNS服务器
    AT指令发送短信
    OpenWrt 定期检测进程是否存在并重启
    OpenWrt 计划任务使用方法
    openwrt-mt7688 修改默认的WIFI SSID
    在MT7628实现wan、wwan与4G动态切换
    Unix常用命令之修改密码
  • 原文地址:https://www.cnblogs.com/bob-wzb/p/4921026.html
一二三 - 开发者的网上家园