WEB十大安全隐患 --序

WEB十大安全隐患

OWASP TOP 10-2010

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助我的、企业和机构来发现和使用可信赖软件。http://www.owasp.org

OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10- 2010。在新版本的OWASP TOP10中主要由如下变化：

1. Top10的命名发生了变化。

原先的Top10全称为“The top 10 most critical web application security vulnerabilities”，即“Web应用的十大关键脆弱性”，如今Top10的全称为“The top 10 most critical web application security risks”，即“Web应用的十大关键风险”

2. OWASP Top 10的风险评估方法

       这次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。

3. 替换了2个风险

       这次Top 10与2007年的Top 10相比，　在内容上去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理)，增长了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and forwards”(未验证的重定向和传递)。

OWASP TOP10 2007	OWASP TOP10 2010
A2-注入	A1-注入
A1-跨站脚本（XSS）	A2-跨站脚本（XSS）
A7-错误的认证和会话管理	A3-错误的认证和会话管理
A4-不正确的直接对象引用	A4-不正确的直接对象引用
A5-伪造跨站请求（CSRF）	A5-伪造跨站请求（CSRF）
	A6-安全性误配置
A10-限制远程访问失败	A7-限制远程访问失败
	A8-未验证的重定向和传递
A8-不安全的加密存储	A9-不安全的加密存储
A9-不足的传输层保护	A10-不足的传输层保护
A3-恶意文件执行
A6-不安全的通信

OWASP风险评估方法

OWASP所选取的10大风险是依据OWASP的风险评估方法，咱们从标准的风险模型开始，即风险=可能性*后果，下面咱们以如下步骤来讲明某个风险的严重程度：

第一步：识别风险

识别风险做为评估的第一步，咱们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能形成的后果，固然可能存在多种攻击方法和多种后果，在评估时咱们每每会采用最坏选择，这样就能更客观的反应该风险的最终评级；

第二步：考虑影响可能性的因素

一般，咱们不可能很精准的说出某个风险的可能性数值，因此咱们通常用高、中、低来表示，并且影响某个风险的可能性的因素有不少，对于每一个因素咱们用0到9的数值来表示。

类别	因素	分项	分值
威胁	技能要求	无需技能	1
须要一些技术	3
高级的计算机用户	4
须要网络和编程技术	6
安全渗透技术	9
成功攻击后攻击者的益处	很低或无益	1
可能会有回报	4
高回报	9
所需资源或机会	须要很大资源或高权限访问	0
须要特定的访问权限和特定的资源	4
须要一些访问权限和资源	7
无需权限或资源	9
所需的攻击者的角色	开发者	2
系统管理员	2
内部用户	4
合做伙伴	5
认证用户	6
匿名Internet用户	9
脆弱性	发现该弱点的难易度	技术上不可行	1
困难	3
容易	7
可用自动化工具发现	9
利用该弱点的难易度	只是理论上的	1
困难	3
容易	5
可用自动化工具实现	9
该弱点的流行度	鲜为人知	1
隐藏	4
明显	6
公众皆知	9
入侵被察觉的可能性	应用程序主动检测	1
记录日志并审核	3
记录日志未审核	8
无日志	9

第三步：考虑影响后果的因素

在考虑攻击后果的时候，咱们会考虑两种后果，一种是应用的“技术后果”，它所使用的数据，提供的功能等等，另外一种就是它的“商业后果”，显而后者则更为重要，但每每后者难以估量，因此咱们须要尽量从技术上去考虑，进而来估计后者的数据。

类别	因素	分项	分值
技术后果	保密性损失	不多的非敏感的数据泄漏	2
不多的敏感数据泄漏	6
大量的非敏感数据泄漏	6
大量的敏感数据泄漏	9