当前位置:主页   - 电脑 - 网络技术 - 网络安全
Web Application Security 网络应用程序安全 - (二)2010年网络安全威胁排行榜TOP 10
来源:网络   作者:独自旅行   更新时间:2011-07-25
收藏此页】    【字号    】    【打印】    【关闭

  今天要和大家分享的是OWASP在2009-11-13日刚刚发布的2010网络安全威胁排行榜RC版(正式版将即将发布出来了,有兴趣的朋友可以通过这个网址访问:http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Main)

  另外,由于TOP 10涵盖的内容很广泛,所以今天只是简单介绍一下TOP 10中的前3个,然后我将会在后续的文章中陆续详细介绍TOP 10里面的其他各项安全威胁。

  再另外,本次是我首次翻译英文技术文章,经验匮乏,有翻译或解释得不清楚或不正确的地方,还请各位朋友们多多谅解并加以指正,谢谢。

  再再另外,我女朋友为我的此次翻译工作做出了很大的支持和贡献,在此我要衷心的感谢我的女朋友,谢谢你。

  好了,我们开始吧。

  TOP 1:A1 –Injection 注入攻击

  Injection flaws, such as SQL, OS, and LDAP injection, occur when untrusteddata is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing unauthorized data.

  注入攻击,例如SQL, OS 以及 LDAP注入,会在不可信的数据作为命令或者查询语句的一部分被发送给处理程序的时候发生。攻击者发送的恶意数据可以欺骗处理程序,以执行计划外的命令或者访问未被授权的数据。

  TOP 2: A2 –Cross Site Scripting (XSS) 跨站点脚本攻击

  XSS flaws occur whenever an application takes untrusteddata and sends it to a web browser without proper validation and escaping. XSS allows attackers to execute script in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites.

  当应用程序包含或者携带不可信的数据,并且没有进行合适的验证就将它发送给浏览器的时候,跨站点脚本攻击(简称XSS)就会产生了。XSS 允许攻击者在受害者的浏览器上执行脚本,于是攻击者可以劫持用户会话,顺坏网站,或者将用户转向至恶意站点。

  TOP 3: A3 –Broken Authentication and Session Management 越权及会话管理

  Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, session tokens, or exploit implementation flaws to assume other users’ identities.

  通常,应用程序的功能往往和权限管理、会话管理相关,但是却经常没有被正确的实现。以至于让攻击者可以窃取到密码,密钥,session tokens,或者冒充其他用户身份。

  附OWASP TOP 10 for 2010:

  A1 –Injection

  A2 –Cross Site Scripting (XSS)

  A3 –Broken Authentication and Session Management

  A4 –Insecure Direct Object References

  A5 –Cross Site Request Forgery (CSRF)

  A6 –Security Misconfiguration(NEW)

  A7 –Failure to Restrict URL Access

  A8 –UnvalidatedRedirects and Forwards (NEW)

  A9 –Insecure Cryptographic Storage

  A10 -Insufficient Transport Layer Protection

编缉推荐阅读以下文章

  • Web Application Security 网络应用程序安全 - (一)启航
其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明