【文章內(nèi)容簡(jiǎn)介】 例如 這樣的用戶輸入中‘value=39。+(id)....將id輸入為 39。script=39。://url/cgibin/?foo=39。+/script39。這樣就把用戶的cookie發(fā)送到了攻擊者，并可以由攻擊者劫持會(huì)話，這樣的攻擊方式也可以將跳過(guò)CSRF（跨站腳本偽造）防御。 常用解決方式：對(duì)用戶輸入等 過(guò)濾掉特殊字符 跨站式腳本錯(cuò)誤問(wèn)題1 存儲(chǔ)式跨站點(diǎn)腳本(GET 方法) 表39 表39 跨站式腳本錯(cuò)誤問(wèn)題 1 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 攻擊者如果利用該漏洞攻擊成功，就可以 將惡意腳本注入到目標(biāo)程序的客戶端代碼。與反射式或基于DOM的XSS相比，攻擊者可通過(guò)這種XSS持久使用應(yīng)用程序服務(wù)器端存儲(chǔ)的惡意腳本，從而對(duì)更多的用戶造成危害。模擬測(cè)試的可視化截圖參考解決方案思路 嚴(yán)格驗(yàn)證 跨站式腳本錯(cuò)誤問(wèn)題2 存儲(chǔ)式跨站點(diǎn)腳本(Post方法) 表310 表310 跨站式腳本錯(cuò)誤問(wèn)題 2 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 危害參考跨站式腳本錯(cuò)誤問(wèn)題1模擬測(cè)試的可視化截圖參考解決方案思路 嚴(yán)格驗(yàn)證 跨站式腳本錯(cuò)誤問(wèn)題3反射型跨站點(diǎn)腳本問(wèn)題（三個(gè)）表311 表311 跨站式腳本錯(cuò)誤問(wèn)題 3 網(wǎng)站新聞查看界面month參數(shù)存在漏洞 攻擊者可將惡意腳本嵌入到已生成頁(yè)面中模擬測(cè)試的可視化截圖參考解決方案思路 嚴(yán)格驗(yàn)證 A4 不安全的對(duì)象直接引用 Insecure Direct Object References 引發(fā)原因 當(dāng)WEB頁(yè)面被生成時(shí)，常常引用實(shí)際對(duì)象名稱(chēng)或鍵值。這導(dǎo)致一個(gè)不安全直接對(duì)象引用漏洞，攻擊者能輕松通過(guò)修改參數(shù)值來(lái)檢測(cè)該漏洞，并通過(guò)代碼分析了解被測(cè)試的參數(shù)用戶是否被授權(quán)從而發(fā)動(dòng)攻擊。 例如 url.../？uid=001 這樣的url會(huì)讓人很輕易的想到其他用戶id格式，比如002 。攻擊者既可以輕易地對(duì)授權(quán)用戶進(jìn)行測(cè)試，還可能利用特殊的指令如000訪問(wèn)到所有用戶或者其他的權(quán)限。 如果url顯示 uid=ASDFGHJKL 這種編碼后的，那么就不容易出現(xiàn)這樣的問(wèn)題了。 常用解決方式：url參數(shù)的編碼和解碼 A5 安全配置錯(cuò)誤 Security Misconfiguration 引發(fā)原因 應(yīng)用程序的安全配置存在不足，或其他堆棧級(jí)別相關(guān)的安全配置存在問(wèn)題。 例如 目錄表未被禁用可以被攻擊者利用甚至下載已編譯的代碼進(jìn)行反轉(zhuǎn)從而找到可以利用的漏洞，或服務(wù)器配置運(yùn)行堆棧跟蹤信息被返回，攻擊者可以獲得額外的信息 常用解決方式：配置文件的加密，error節(jié)點(diǎn)（404） 日記文件的安全設(shè)置 安全配置錯(cuò)誤問(wèn)題1 AutoComplete控件被激活 表312 表312 安全配置錯(cuò)誤問(wèn)題1 AutoComplete控件是用戶在文本框輸入字符的時(shí)候能將存放數(shù)據(jù)的文本或是數(shù)據(jù)庫(kù)將所有以這些字符開(kāi)頭的數(shù)據(jù)選項(xiàng)提供給賬戶以供選擇問(wèn)題請(qǐng)求模擬測(cè)試的可視化截圖參考解決方案思路將autoplete控件關(guān)閉 autoplete=”off” 安全配置錯(cuò)誤問(wèn)題2 OptionsMethod被激活 表313 表313 安全配置錯(cuò)誤問(wèn)題2Http除了Get和post兩種請(qǐng)求方法外還有別的方法，比如通常用于檢測(cè)服務(wù)器性能的方法Options。而這個(gè)方法經(jīng)常被黑客們利用。解決方案思路禁止options方法 安全配置錯(cuò)誤問(wèn)題3 密碼領(lǐng)域的AutoComplete控件被激活 表314 表314 安全配置錯(cuò)誤問(wèn)題3 同安全配置錯(cuò)誤問(wèn)題1解決方案思路將autoplete控件關(guān)閉 autoplete=”off” A6 敏感數(shù)據(jù)暴露 Sensitive Data Exposure 引發(fā)原因 敏感信息比如密碼沒(méi)有加密，或者錯(cuò)誤的SSL加密或緩存，包括傳輸或者存儲(chǔ) 例如 密碼數(shù)據(jù)庫(kù)存儲(chǔ)密碼使用未加密的哈希表，而攻擊者可能利用其它缺陷獲得密碼文件從而很快的使用密碼進(jìn)行攻擊。 傳輸過(guò)程中敏感信息沒(méi)有安全的加密如url/?num=123456,而攻擊者竊聽(tīng)的時(shí)候可以輕松獲取該信息，有的站點(diǎn)不會(huì)對(duì)通過(guò)驗(yàn)證的用戶在全部頁(yè)面都使用SSL。攻擊者可以通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)中的傳輸，竊取用戶的Cookie然后重放會(huì)話訪問(wèn)私人信息。這樣不安全的加密導(dǎo)致敏感信息的暴露危害性非常大，而且敏感信息因?yàn)闆](méi)有被加密可以被攻擊者輕易交由任何人（不需要技術(shù)知識(shí)要求）使用。 常用解決方式：使用加密傳輸（Https） 加密存儲(chǔ) 安全的加密方式 敏感數(shù)據(jù)暴露問(wèn)題1 使用HTTP傳遞密碼 表315 表315 敏感數(shù)據(jù)暴露問(wèn)題1 問(wèn)題請(qǐng)求可視化截圖解決方案思路使用傳遞密碼 敏感數(shù)據(jù)暴露問(wèn)題2 使用未加密的窗體 表316 表316 敏感數(shù)據(jù)暴露問(wèn)題2 問(wèn)題請(qǐng)求解決方案思路使用加密窗體 A7 功能級(jí)別訪問(wèn)控制缺失 Missing Function Level Access Control 引發(fā)原因 權(quán)限認(rèn)證存在問(wèn)題包括UI控件（例如非管理員用戶不能使用某些頁(yè)面上的控件），頁(yè)面訪問(wèn)，業(yè)務(wù)行為等等 特別是角色控制。 例如 url/（普通頁(yè)面） url/（管理員頁(yè)面） 如果未授權(quán)的用戶也可以訪問(wèn)第二個(gè)頁(yè)面，那這個(gè)缺陷可以引發(fā)很多攻擊 常用解決方式：對(duì)于UI控件，沒(méi)有權(quán)限就隱藏掉，完善的權(quán)限認(rèn)證和檢測(cè) 功能級(jí)別訪問(wèn)控制缺失 問(wèn)題1 目錄列表漏洞（90個(gè)）表317 表317 功能級(jí)別訪問(wèn)控制缺失 問(wèn)題1目錄列表是位于該目錄中所有資源的完整索引，隱藏文件或頁(yè)面對(duì)攻擊者可見(jiàn)或可觸及，即文件結(jié)構(gòu)由路徑直接反應(yīng)出來(lái)。解決方案思路權(quán)限限制設(shè)定 能級(jí)別訪問(wèn)控制缺失 問(wèn)題2未禁用瀏覽器Mine探查（5個(gè)）表318 表318 功能級(jí)別訪問(wèn)控制缺失 問(wèn)題2 使用VS開(kāi)發(fā)的網(wǎng)站 項(xiàng)目如Sln，位圖等解決方案思路權(quán)限限制設(shè)定 A8 跨站請(qǐng)求偽造 CrossSite Request Forgery（CSRF） 引發(fā)原因 通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)訪問(wèn)受信任的網(wǎng)站并執(zhí)行非法請(qǐng)求 例如 用戶在某信任的網(wǎng)站（銀行，或第三方支付等）保持的已登陸狀態(tài)，而攻擊者通過(guò)在其他頁(yè)面（視頻網(wǎng)站，廣告）加入了圖像請(qǐng)求或是控制語(yǔ)句的iframe窗體。當(dāng)用戶點(diǎn)擊時(shí)，該請(qǐng)求會(huì)發(fā)送到該信任網(wǎng)站并利用已驗(yàn)證的session執(zhí)行比如轉(zhuǎn)賬。 常用解決方式：使用瞬時(shí)的授權(quán)方法 跨站請(qǐng)求偽造問(wèn)題 登陸界面跨站點(diǎn)請(qǐng)求偽造 表319 表319 跨站請(qǐng)求偽造問(wèn)題 由于瀏覽器可以同時(shí)運(yùn)行多個(gè)站點(diǎn)發(fā)送的代碼，因此如果某個(gè)站點(diǎn)向用戶已進(jìn)行身份驗(yàn)證的另一個(gè)安全站點(diǎn)（銀行等）發(fā)送請(qǐng)求（用戶從未見(jiàn)到該請(qǐng)求），而該請(qǐng)求將被誤作為用戶已授權(quán)的請(qǐng)求接收，則可能會(huì)發(fā)生 XSRF 攻擊。解決方案思路 反跨站點(diǎn)請(qǐng)求偽造令牌來(lái)防止CSRF攻擊。 A9 使用已知易受攻擊組件 Using Known Vulnerable Components 引發(fā)原因 使用了自己的或者第三方提供的組件引發(fā)的不可預(yù)知的問(wèn)題 例如 組件中如果有缺陷后果是非常嚴(yán)重的的，2011年ApacheCXF Authentication Bypass 該組件未能通過(guò)提供身份令牌驗(yàn)證用戶，攻擊者可以調(diào)用所有Web服務(wù)的完整權(quán)限，而這個(gè)組件當(dāng)時(shí)被下載傳播過(guò)超過(guò)100萬(wàn)次。 常用解決方式：對(duì)于自己的組件要注意質(zhì)量，對(duì)于第三方組件，使用知名的提供商的穩(wěn)定版本 A10 未驗(yàn)證的重定向和轉(zhuǎn)發(fā) Unvalidated Redirects and Forwards 引發(fā)原因 誘使被攻擊者點(diǎn)擊未驗(yàn)證的重定向 例如 url/returnjsp?url= 這種重定向會(huì)顯示在瀏覽器地址欄中，如果攻擊者利用這點(diǎn)將重定向網(wǎng)站變成假冒的網(wǎng)頁(yè)，如密碼輸入頁(yè)面，用戶再次輸入密碼導(dǎo)致密碼被攻擊者竊取。 常用解決方式：對(duì)于returnUrl這種參數(shù)值進(jìn)行判斷，只有可靠的url才能redirect（白名單），重定向時(shí)，盡可能使用相對(duì)路徑 HP報(bào)告的建議對(duì)于檢測(cè)到的漏洞 HP對(duì)于開(kāi)發(fā)團(tuán)隊(duì)，QA部門(mén)，安全運(yùn)營(yíng)部門(mén)提供了一些項(xiàng)目安全方面建議，如圖310可參考附件\安全檢測(cè)\HPInspect\ 522頁(yè)至546頁(yè)。 圖310 HP對(duì)于檢測(cè)到的漏洞 對(duì)項(xiàng)目相關(guān)團(tuán)隊(duì)的建議 評(píng)估風(fēng)險(xiǎn) 根據(jù)OWASP風(fēng)險(xiǎn)評(píng)估模型對(duì)每個(gè)存在的漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估 整體風(fēng)險(xiǎn)的嚴(yán)重程度=漏洞被利用的可能性與影響的加成 首先對(duì) 兩個(gè)因素進(jìn)行數(shù)字評(píng)估量化，在對(duì)照03低，36中等，69高的轉(zhuǎn)化與下表進(jìn)行匹配得出嚴(yán)重程度結(jié)果，如表320 表320 風(fēng)險(xiǎn)嚴(yán)重程度劃分 整體風(fēng)險(xiǎn)的嚴(yán)重程度漏洞影響 高 中等 高 犯罪的 中等 低 中等 高 低 可記錄 低 中等 低 中等 高 漏洞被利用可能性 A1：SQL注入 因?yàn)榘l(fā)現(xiàn)的四種注入問(wèn)題，對(duì)其進(jìn)行威脅分解，第一，二，四種都是任意代碼執(zhí)行問(wèn)題，且都存在于登陸界面，所以可以劃分為同一類(lèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估 SQL注入錯(cuò)誤問(wèn)題（1,2,4）如表321,322,323所示。 表321 漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來(lái)的收益所需權(quán)限，機(jī)會(huì)或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺(jué)的可能性初級(jí)技術(shù)能力可能有回報(bào)無(wú)需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 容易 可利用自動(dòng)化測(cè)試工具眾所周知沒(méi)有日志記錄 3 4 9 9 7 9 9 9 （3+4+9+9+7+9+9+9）/8 =（高） 表322 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問(wèn)責(zé)性財(cái)產(chǎn)方面損失名譽(yù)損失帶來(lái)影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 完全匿名 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非常少人信息泄漏 2 1 1 9 1 1 5 1 （2+1+1+9+1+1+5+1）/8=（低） 通常SQL注入所帶來(lái)的影響都是很大的，但是因?yàn)樵摼W(wǎng)站在登陸界面對(duì)于注入只是存在注冊(cè)用戶的操作，所以只是破壞了少量的數(shù)據(jù)。 表323 風(fēng)險(xiǎn)驗(yàn)證程度 風(fēng)險(xiǎn)嚴(yán)重程度 漏洞影響 中等漏洞被利用可能性 SQL注入錯(cuò)誤問(wèn)題3，如表324,325,326所示 324漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來(lái)的收益所需權(quán)限，機(jī)會(huì)或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺(jué)的可能性初級(jí)技術(shù)能力可能有回報(bào)需要一些訪問(wèn)權(quán)限或成本內(nèi)部用戶 容易 可利用自動(dòng)化測(cè)試工具隱藏沒(méi)有日志記錄 3 4 7 4 7 9 5 9 （3+4+7+9+4+9+9+9）/8 =（中等） 表325 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問(wèn)責(zé)性財(cái)產(chǎn)方面損失名譽(yù)損失帶來(lái)影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 可能可以追溯 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非常少人信息泄漏 2 1 1 7 1 1 5 1 （2+1+1+7+1+1+5+1）/8=（低） 表326風(fēng)險(xiǎn)嚴(yán)重程度 風(fēng)險(xiǎn)嚴(yán)重程度 漏洞影響 低漏洞被利用可能性 A3 跨站式腳本 圍繞新聞界面發(fā)現(xiàn)的month參數(shù)漏洞所引發(fā)的三種不同的跨站式腳本漏洞存在的風(fēng)險(xiǎn)，第一二種都是存儲(chǔ)式XSS只是方法不同，風(fēng)險(xiǎn)可劃分為同一類(lèi)，第三種反射型單獨(dú)一類(lèi)。 跨站式腳本錯(cuò)誤問(wèn)題1,2，如表327，表328，表329所示。表327漏洞被利用的可能性分析 攻擊者因素 漏洞因素技能要求成功攻擊后帶來(lái)的收益所需權(quán)限，機(jī)會(huì)或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺(jué)的可能性初級(jí)技術(shù)能力可能有回報(bào)無(wú)需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 困難 可利用自動(dòng)化測(cè)試工具明顯的沒(méi)