谈谈OWASP与网站安全保障及信息安全  

 

谈起网站安全，就离不开OWASP，什么是OWASP？ 全称是开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个成立于2001年，公益的，非盈利的，专注于网站安全的组织。

OWASP最著名的就是OWASP top 10，就是常见的安全问题前十名，已经成为业界标准，被誉为网络安全的圣经。

随着OWASP top 10的广泛认可，后来就有了多个细分 top 10， 比如

• OWASP Privacy Risk top 10 （隐私风险）
• OWASP Mobile top 10 （移动安全）
• OWASP API Security top 10 （接口安全）
• OWASP Desktop top 10 （桌面安全）

 

 

 

 

 

 

OWASP的主要分为以下10个大类，每一个大类也会随着OWASP的更新而变化，但是基本的漏洞都差不多，具体看下面的介绍，

1. 授权登录
2. 加密失败
3. 注入问题
4. 设计安全问题
5. 配置安全问题
6. 组件安全和升级
7. 认证失败
8. 软件和数据一致性 
9. 监控和日志
10. 服务端请求伪造

 

绕过授权

一般是指通过伪造获得授权，包括CRSF、敏感数据公开可访问、路径遍历等漏洞。顺便多讲一句Authentication和Authorization的区别，authentication是指授权，但是授权后是谁不管，只管登录是否成功。所以，一般SSO的范畴。Authorization表示授权，要获取用户Role，是否有权限，所以这个要校验每一个身份，两个是有区别的。

路径遍历的介绍可以参考这篇文章 https://zhuanlan.zhihu.com/p/444301984 

 

加密失败/加密错误

是指网站在处理敏感信息的时候，没有进行加密处理，并不是所有的信息都需要加密，需要加密的是指敏感信息、私人信息（sensitive data、personal information）之类。

 

注入问题

注入问题我们比较经常遇到，通常是指由用户提供的数据，没有进行有效校验，我们常用的框架对注入问题一般都有处理，但是写程序的时候，还是要注意避免。注入问题一般指三类，1.跨站注入XSS、2.SQL注入、3.其他注入（比如batch脚本注入等）。

跨站注入的漏洞介绍，可以参考这篇文章： https://blog.csdn.net/m0_52051132/article/details/123797359 

 

配置安全

配置安全一般是指用户通过默认配置、默认密码、默认页面、废弃URL、公开漏洞等URL或者页面可以直接访问系统，这种配置或者安全问题，需要及时修改或者及时升级。

 

组件更新

这个一般是指我们的组件、依赖库、软件已经outdate了，需要及时更新即可（据统计Github中81.5%的组件是有安全漏洞或者安全升级隐患的，所以及时更新是很有必要的）。

 

监控和日志

一般来说，所有应用都应该有监控和完整的日志机制，以便发生了一些安全事件或者意外事件，可以根据日志和监控，进行追踪和查找原因，因此监控和日志也是OWASP中重要的一项。

 

服务端请求伪造

服务端请求伪造（SSRF）是指一些程序通过伪造数据，攻击用户服务端，比如一些网站提供URL预览，在服务器端生成网站的预览截图，但是如果没有验证用户给的URL，有可能造成攻击者侵入。

SSRF的漏洞，可以参考这篇文章 https://blog.csdn.net/LJH1999ZN/article/details/123093563 

 

 

 

更多CMS和内容管理相关文章，可以参考我们之前更多文章，有兴趣可以点击阅览。

1. 高校信息化之统一SAAS管理的解决方案

2. 如何用开源的系统来构建知识库平台？

3. 基于Drupal的在线教育网站案例

4. 构建英文网站应该用什么框架？

5. 常见的CMS平台比较

6. 外贸网站如何实现网站多语言版本开发？

7. 构建Drupal的成本分析