谈谈OWASP与网站安全保障及信息安全
谈起网站安全,就离不开OWASP,什么是OWASP? 全称是开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个成立于2001年,公益的,非盈利的,专注于网站安全的组织。
OWASP最著名的就是OWASP top 10,就是常见的安全问题前十名,已经成为业界标准,被誉为网络安全的圣经。
随着OWASP top 10的广泛认可,后来就有了多个细分 top 10, 比如
- OWASP Privacy Risk top 10 (隐私风险)
- OWASP Mobile top 10 (移动安全)
- OWASP API Security top 10 (接口安全)
- OWASP Desktop top 10 (桌面安全)
OWASP的详解
OWASP的主要分为以下10个大类,每一个大类也会随着OWASP的更新而变化,但是基本的漏洞都差不多,具体看下面的介绍,
- 授权登录
- 加密失败
- 注入问题
- 设计安全问题
- 配置安全问题
- 组件安全和升级
- 认证失败
- 软件和数据一致性
- 监控和日志
- 服务端请求伪造
绕过授权
一般是指通过伪造获得授权,包括CRSF、敏感数据公开可访问、路径遍历等漏洞。顺便多讲一句Authentication和Authorization的区别,authentication是指授权,但是授权后是谁不管,只管登录是否成功。所以,一般SSO的范畴。Authorization表示授权,要获取用户Role,是否有权限,所以这个要校验每一个身份,两个是有区别的。
路径遍历的介绍可以参考这篇文章 https://zhuanlan.zhihu.com/p/444301984
加密失败/加密错误
是指网站在处理敏感信息的时候,没有进行加密处理,并不是所有的信息都需要加密,需要加密的是指敏感信息、私人信息(sensitive data、personal information)之类。
注入问题
注入问题我们比较经常遇到,通常是指由用户提供的数据,没有进行有效校验,我们常用的框架对注入问题一般都有处理,但是写程序的时候,还是要注意避免。注入问题一般指三类,1.跨站注入XSS、2.SQL注入、3.其他注入(比如batch脚本注入等)。
跨站注入的漏洞介绍,可以参考这篇文章: https://blog.csdn.net/m0_52051132/article/details/123797359
配置安全
配置安全一般是指用户通过默认配置、默认密码、默认页面、废弃URL、公开漏洞等URL或者页面可以直接访问系统,这种配置或者安全问题,需要及时修改或者及时升级。
组件更新
这个一般是指我们的组件、依赖库、软件已经outdate了,需要及时更新即可(据统计Github中81.5%的组件是有安全漏洞或者安全升级隐患的,所以及时更新是很有必要的)。
监控和日志
一般来说,所有应用都应该有监控和完整的日志机制,以便发生了一些安全事件或者意外事件,可以根据日志和监控,进行追踪和查找原因,因此监控和日志也是OWASP中重要的一项。
服务端请求伪造
服务端请求伪造(SSRF)是指一些程序通过伪造数据,攻击用户服务端,比如一些网站提供URL预览,在服务器端生成网站的预览截图,但是如果没有验证用户给的URL,有可能造成攻击者侵入。
SSRF的漏洞,可以参考这篇文章 https://blog.csdn.net/LJH1999ZN/article/details/123093563
更多CMS和内容管理相关文章,可以参考我们之前更多文章,有兴趣可以点击阅览。
5. 常见的CMS平台比较