【文章內(nèi)容簡介】 例如 這樣的用戶輸入中‘value=39。+(id)....將id輸入為 39。script=39。://url/cgibin/?foo=39。+/script39。這樣就把用戶的cookie發(fā)送到了攻擊者，并可以由攻擊者劫持會話，這樣的攻擊方式也可以將跳過CSRF（跨站腳本偽造）防御。 常用解決方式：對用戶輸入等 過濾掉特殊字符 跨站式腳本錯誤問題1 存儲式跨站點腳本(GET 方法) 表39 表39 跨站式腳本錯誤問題 1 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 攻擊者如果利用該漏洞攻擊成功，就可以 將惡意腳本注入到目標(biāo)程序的客戶端代碼。與反射式或基于DOM的XSS相比，攻擊者可通過這種XSS持久使用應(yīng)用程序服務(wù)器端存儲的惡意腳本，從而對更多的用戶造成危害。模擬測試的可視化截圖參考解決方案思路 嚴(yán)格驗證 跨站式腳本錯誤問題2 存儲式跨站點腳本(Post方法) 表310 表310 跨站式腳本錯誤問題 2 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 危害參考跨站式腳本錯誤問題1模擬測試的可視化截圖參考解決方案思路 嚴(yán)格驗證 跨站式腳本錯誤問題3反射型跨站點腳本問題（三個）表311 表311 跨站式腳本錯誤問題 3 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 攻擊者可將惡意腳本嵌入到已生成頁面中模擬測試的可視化截圖參考解決方案思路 嚴(yán)格驗證 A4 不安全的對象直接引用 Insecure Direct Object References 引發(fā)原因 當(dāng)WEB頁面被生成時，常常引用實際對象名稱或鍵值。這導(dǎo)致一個不安全直接對象引用漏洞，攻擊者能輕松通過修改參數(shù)值來檢測該漏洞，并通過代碼分析了解被測試的參數(shù)用戶是否被授權(quán)從而發(fā)動攻擊。 例如 url.../？uid=001 這樣的url會讓人很輕易的想到其他用戶id格式，比如002 。攻擊者既可以輕易地對授權(quán)用戶進行測試，還可能利用特殊的指令如000訪問到所有用戶或者其他的權(quán)限。 如果url顯示 uid=ASDFGHJKL 這種編碼后的，那么就不容易出現(xiàn)這樣的問題了。 常用解決方式：url參數(shù)的編碼和解碼 A5 安全配置錯誤 Security Misconfiguration 引發(fā)原因 應(yīng)用程序的安全配置存在不足，或其他堆棧級別相關(guān)的安全配置存在問題。 例如 目錄表未被禁用可以被攻擊者利用甚至下載已編譯的代碼進行反轉(zhuǎn)從而找到可以利用的漏洞，或服務(wù)器配置運行堆棧跟蹤信息被返回，攻擊者可以獲得額外的信息 常用解決方式：配置文件的加密，error節(jié)點（404） 日記文件的安全設(shè)置 安全配置錯誤問題1 AutoComplete控件被激活 表312 表312 安全配置錯誤問題1 AutoComplete控件是用戶在文本框輸入字符的時候能將存放數(shù)據(jù)的文本或是數(shù)據(jù)庫將所有以這些字符開頭的數(shù)據(jù)選項提供給賬戶以供選擇問題請求模擬測試的可視化截圖參考解決方案思路將autoplete控件關(guān)閉 autoplete=”off” 安全配置錯誤問題2 OptionsMethod被激活 表313 表313 安全配置錯誤問題2Http除了Get和post兩種請求方法外還有別的方法，比如通常用于檢測服務(wù)器性能的方法Options。而這個方法經(jīng)常被黑客們利用。解決方案思路禁止options方法 安全配置錯誤問題3 密碼領(lǐng)域的AutoComplete控件被激活 表314 表314 安全配置錯誤問題3 同安全配置錯誤問題1解決方案思路將autoplete控件關(guān)閉 autoplete=”off” A6 敏感數(shù)據(jù)暴露 Sensitive Data Exposure 引發(fā)原因 敏感信息比如密碼沒有加密，或者錯誤的SSL加密或緩存，包括傳輸或者存儲 例如 密碼數(shù)據(jù)庫存儲密碼使用未加密的哈希表，而攻擊者可能利用其它缺陷獲得密碼文件從而很快的使用密碼進行攻擊。 傳輸過程中敏感信息沒有安全的加密如url/?num=123456,而攻擊者竊聽的時候可以輕松獲取該信息，有的站點不會對通過驗證的用戶在全部頁面都使用SSL。攻擊者可以通過監(jiān)聽網(wǎng)絡(luò)中的傳輸，竊取用戶的Cookie然后重放會話訪問私人信息。這樣不安全的加密導(dǎo)致敏感信息的暴露危害性非常大，而且敏感信息因為沒有被加密可以被攻擊者輕易交由任何人（不需要技術(shù)知識要求）使用。 常用解決方式：使用加密傳輸（Https） 加密存儲 安全的加密方式 敏感數(shù)據(jù)暴露問題1 使用HTTP傳遞密碼 表315 表315 敏感數(shù)據(jù)暴露問題1 問題請求可視化截圖解決方案思路使用傳遞密碼 敏感數(shù)據(jù)暴露問題2 使用未加密的窗體 表316 表316 敏感數(shù)據(jù)暴露問題2 問題請求解決方案思路使用加密窗體 A7 功能級別訪問控制缺失 Missing Function Level Access Control 引發(fā)原因 權(quán)限認(rèn)證存在問題包括UI控件（例如非管理員用戶不能使用某些頁面上的控件），頁面訪問，業(yè)務(wù)行為等等 特別是角色控制。 例如 url/（普通頁面） url/（管理員頁面） 如果未授權(quán)的用戶也可以訪問第二個頁面，那這個缺陷可以引發(fā)很多攻擊 常用解決方式：對于UI控件，沒有權(quán)限就隱藏掉，完善的權(quán)限認(rèn)證和檢測 功能級別訪問控制缺失 問題1 目錄列表漏洞（90個）表317 表317 功能級別訪問控制缺失 問題1目錄列表是位于該目錄中所有資源的完整索引，隱藏文件或頁面對攻擊者可見或可觸及，即文件結(jié)構(gòu)由路徑直接反應(yīng)出來。解決方案思路權(quán)限限制設(shè)定 能級別訪問控制缺失 問題2未禁用瀏覽器Mine探查（5個）表318 表318 功能級別訪問控制缺失 問題2 使用VS開發(fā)的網(wǎng)站 項目如Sln，位圖等解決方案思路權(quán)限限制設(shè)定 A8 跨站請求偽造 CrossSite Request Forgery（CSRF） 引發(fā)原因 通過偽裝來自受信任用戶的請求來訪問受信任的網(wǎng)站并執(zhí)行非法請求 例如 用戶在某信任的網(wǎng)站（銀行，或第三方支付等）保持的已登陸狀態(tài)，而攻擊者通過在其他頁面（視頻網(wǎng)站，廣告）加入了圖像請求或是控制語句的iframe窗體。當(dāng)用戶點擊時，該請求會發(fā)送到該信任網(wǎng)站并利用已驗證的session執(zhí)行比如轉(zhuǎn)賬。 常用解決方式：使用瞬時的授權(quán)方法 跨站請求偽造問題 登陸界面跨站點請求偽造 表319 表319 跨站請求偽造問題 由于瀏覽器可以同時運行多個站點發(fā)送的代碼，因此如果某個站點向用戶已進行身份驗證的另一個安全站點（銀行等）發(fā)送請求（用戶從未見到該請求），而該請求將被誤作為用戶已授權(quán)的請求接收，則可能會發(fā)生 XSRF 攻擊。解決方案思路 反跨站點請求偽造令牌來防止CSRF攻擊。 A9 使用已知易受攻擊組件 Using Known Vulnerable Components 引發(fā)原因 使用了自己的或者第三方提供的組件引發(fā)的不可預(yù)知的問題 例如 組件中如果有缺陷后果是非常嚴(yán)重的的，2011年ApacheCXF Authentication Bypass 該組件未能通過提供身份令牌驗證用戶，攻擊者可以調(diào)用所有Web服務(wù)的完整權(quán)限，而這個組件當(dāng)時被下載傳播過超過100萬次。 常用解決方式：對于自己的組件要注意質(zhì)量，對于第三方組件，使用知名的提供商的穩(wěn)定版本 A10 未驗證的重定向和轉(zhuǎn)發(fā) Unvalidated Redirects and Forwards 引發(fā)原因 誘使被攻擊者點擊未驗證的重定向 例如 url/returnjsp?url= 這種重定向會顯示在瀏覽器地址欄中，如果攻擊者利用這點將重定向網(wǎng)站變成假冒的網(wǎng)頁，如密碼輸入頁面，用戶再次輸入密碼導(dǎo)致密碼被攻擊者竊取。 常用解決方式：對于returnUrl這種參數(shù)值進行判斷，只有可靠的url才能redirect（白名單），重定向時，盡可能使用相對路徑 HP報告的建議對于檢測到的漏洞 HP對于開發(fā)團隊，QA部門，安全運營部門提供了一些項目安全方面建議，如圖310可參考附件\安全檢測\HPInspect\ 522頁至546頁。 圖310 HP對于檢測到的漏洞 對項目相關(guān)團隊的建議 評估風(fēng)險 根據(jù)OWASP風(fēng)險評估模型對每個存在的漏洞進行風(fēng)險評估 整體風(fēng)險的嚴(yán)重程度=漏洞被利用的可能性與影響的加成 首先對 兩個因素進行數(shù)字評估量化，在對照03低，36中等，69高的轉(zhuǎn)化與下表進行匹配得出嚴(yán)重程度結(jié)果，如表320 表320 風(fēng)險嚴(yán)重程度劃分 整體風(fēng)險的嚴(yán)重程度漏洞影響 高 中等 高 犯罪的 中等 低 中等 高 低 可記錄 低 中等 低 中等 高 漏洞被利用可能性 A1：SQL注入 因為發(fā)現(xiàn)的四種注入問題，對其進行威脅分解，第一，二，四種都是任意代碼執(zhí)行問題，且都存在于登陸界面，所以可以劃分為同一類進行風(fēng)險評估 SQL注入錯誤問題（1,2,4）如表321,322,323所示。 表321 漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來的收益所需權(quán)限，機會或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺的可能性初級技術(shù)能力可能有回報無需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 容易 可利用自動化測試工具眾所周知沒有日志記錄 3 4 9 9 7 9 9 9 （3+4+9+9+7+9+9+9）/8 =（高） 表322 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問責(zé)性財產(chǎn)方面損失名譽損失帶來影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 完全匿名 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非常少人信息泄漏 2 1 1 9 1 1 5 1 （2+1+1+9+1+1+5+1）/8=（低） 通常SQL注入所帶來的影響都是很大的，但是因為該網(wǎng)站在登陸界面對于注入只是存在注冊用戶的操作，所以只是破壞了少量的數(shù)據(jù)。 表323 風(fēng)險驗證程度 風(fēng)險嚴(yán)重程度 漏洞影響 中等漏洞被利用可能性 SQL注入錯誤問題3，如表324,325,326所示 324漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來的收益所需權(quán)限，機會或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺的可能性初級技術(shù)能力可能有回報需要一些訪問權(quán)限或成本內(nèi)部用戶 容易 可利用自動化測試工具隱藏沒有日志記錄 3 4 7 4 7 9 5 9 （3+4+7+9+4+9+9+9）/8 =（中等） 表325 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問責(zé)性財產(chǎn)方面損失名譽損失帶來影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 可能可以追溯 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非常少人信息泄漏 2 1 1 7 1 1 5 1 （2+1+1+7+1+1+5+1）/8=（低） 表326風(fēng)險嚴(yán)重程度 風(fēng)險嚴(yán)重程度 漏洞影響 低漏洞被利用可能性 A3 跨站式腳本 圍繞新聞界面發(fā)現(xiàn)的month參數(shù)漏洞所引發(fā)的三種不同的跨站式腳本漏洞存在的風(fēng)險，第一二種都是存儲式XSS只是方法不同，風(fēng)險可劃分為同一類，第三種反射型單獨一類。 跨站式腳本錯誤問題1,2，如表327，表328，表329所示。表327漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來的收益所需權(quán)限，機會或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺的可能性初級技術(shù)能力可能有回報無需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 困難 可利用自動化測試工具明顯的沒