OWASP十大攻击类型详解

随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。

 

一、OWASP的安全威胁

OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

编号

来源

描述

是否产

生日志

备注

01

OWASP

Injection

已定义特征

02

OWASP

Broken Authentication and session Management

统计分析

03

OWASP

Cross-Site Scripting (XSS)

已定义特征

04

OWASP

Insecure Direct Object References

已定义部分攻击特征+正确配置

05

OWASP

Security Misconfiguration

日志中不记录具体请求的内容信息

06

OWASP

Sensitive Data Exposure

日志中不记录具体请求的内容信息

07

OWASP

Missing Function Level Access Control

已定义部分攻击特征+正确配置

08

OWASP

Cross-Site Request Forgery (CSRF)

日志中不记录具体请求的内容信息

09

OWASP

Using Components with Known Vulnerabilities

已定义特征

10

OWASP

Unvalidated Redirects and Forwards

日志中不记录具体请求的内容信息

 

二、分析规则

2.1 Injection  注入

来源

WASC

ID

40

检测方案

特征匹配

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入

已定义匹配规则

 

2.2 失效的身份认证和会话管理

2.2.1 Credential/Session ID Prediction

来源

WASC

ID

 

检测方案

统计分析

涉及字段

IIS

Client IP Address(c-ip)、需要cookie信息URI

Apache

host、需要cookie信息request

分析方法

统计同一源IP短时间内访问web的无效sessioncookie次数,如果超过一定的基线阈值则可以视为攻击。

如果同一session ID在一定时间内,由不同client IP address在重用,则可以视为攻击。 

URI中如出现大量sessionID字串的顺序出现

 

2.2.2 会话超时设置不当

来源

WASC

ID

 

检测方案

 

涉及字段

IIS

Client IP Address(c-ip)、需要cookie信息URI

 

Apache

host、需要cookie信息request

分析方法

根据会话需要,设置会话的过期时间,并且提供logout功能。

 

2.3 Cross-Site Scripting (xss)跨站脚本

来源

WASC

ID

 

检测方案

特征匹配

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

已定义匹配规则

 

2.4 不安全的直接对象引用

2.4.1 Path Traversal(pt) 路径遍历

来源

其他

ID

 

检测方案

特征匹配

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

Detects basic directory traversal

检测到路径遍历

已定义规则

 

2.4.2 水平越权

来源

其他

ID

 

检测方案

 

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

遍历用户id批量获取用户信息

正确配置:判断用户的session id,是否具有访问或操作权限;

id进行加密。

 

2.5 安全配置错误

来源

WASC

ID

 

检测方案

 

涉及字段

IIS

Client IP Address(c-ip)URIHTTP Status(sc-status)

Apache

hostrequeststatuscode

分析方法

默认配置漏洞容易被利用

修改为安全的属性配置。最少使用模块配置,最少权限配置。

2.6 敏感数据泄漏

2.6.1 HTTPS传输

来源

其他

ID

58

检测方案

 

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

页面传输使用https保护传输

 

2.6.2 信息未加密

来源

其他

ID

59

检测方案

 

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

对敏感信息进行加密。

对用户来说,不用应用的密码设置为不同的,防止撞库。

 

2.7 缺失级功能访问控制

2.7.1 Sensitive Path Guess敏感路径猜测

来源

其他

ID

 

检测方案

特征匹配

目标字段

IIS

Ip referrer url status

Apache

Ip referrer url status

分析方法

是否访问了该服务器敏感目录如admin等管理后台.

已定义规则。

 

2.7.2 垂直权限缺失访问控制

来源

其他

ID

59

检测方案

 

目标字段

IIS

URI Query(cs-uri-query)

Apache

request

分析方法

属于业务设计缺陷的安全问题,

正确配置:应当对访问控制加权限。

 

2.9 The Third Party Components Access第三方组件访问

来源

其他

ID

 

检测方案

特征匹配

目标字段

IIS

URI  status

Apache

Request  status

分析方法

大多第三方组件曾出现过严重安全漏洞,且均存在缺失路径,如果对某组件出现过漏洞的路径进行访问,则有可能为攻击行为,包含的组件有在线编辑器ewebeditorfckeditor,其特征分别为eWebEditor、eWebEditor.mdbeditor/admin_login.aspfilemanagereditor/filemanager/browser等

 

 

posted @ 2015-10-29 16:58  wangzbob  阅读(7626)  评论(0编辑  收藏  举报