Web安全风险与常见攻击手段，你必须了解的几点！(2)

7

拖库

• 网站遭到入侵后，黑客窃取其数据库。

8

社会工程学

• 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上升甚至滥用的趋势。

9

Apt 攻击

• 高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

Web常见攻击手段

（OWASP TOP 10）

针对 Web 服务的攻击手段五花八门，形形色色。为了帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性，OWASP 组织每年都会发布 OWASP TOP 10 年度报告，该报告总结了 Web 应用程序最可能、最常见、最危险的十大漏洞。

OWASP：开放式 Web 应用程序安全项目，是一个非营利组织，不附属于任何企业或财团。因此，由 OWASP 提供和开发的所有设施和文件都不受商业因素的影响。OWASP 支持商业安全技术的合理使用，它有一个论坛，在论坛里信息技术专业人员可以发表和传授专业知识和技能。

OWASP TOP 10 2017

A1-Injection（注入漏洞）

• 当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候，会发生注入漏洞，包括 SQL、NoSQL、OS 以及 LDAP 注入等。
• 攻击者发送的恶意数据可能会诱使解释器执行计划外的命令，或在没有适当授权的情况下访问数据。

A2-BrokenAuthentication（中断身份认证）

• 与认证和会话管理相关的应用函数经常被错误地实现，从而允许攻击者破坏密码、密钥或是会话令牌。
• 或者利用其他的应用漏洞来暂时或永久地获取用户身份信息。

A3-Sensitive DataExposure（敏感数据泄露）

• 许多 Web 应用程序和 API 不能正确的保护敏感数据，如金融、医疗保健和 PII（个人身份信息）等。攻击者可能会窃取或篡改这些弱保护的数据，从而进行信用卡欺诈、身份盗窃或其他犯罪行为。
• 在缺少额外保护（例如，在存放和传输过程中加密，且在与浏览器进行交换时需要特别谨慎）的情况下，敏感数据可能会受到损害。

A4-XML ExternalEntities（XXE）XML 外部处理器漏洞

• 许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用。
• 外部实体可用于泄露内部文件，通过使用文件URI处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务攻击等手段。

A5-Broken AccessControl（中断访问控制）

• 限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。
• 攻击者可以利用这些漏洞访问未经授权的功能和数据，例如访问其他用户的账户，查看敏感文件，篡改其他用户的数据，更改访问权限等。

A6-SecurityMisconfiguration（安全配置错误）

• 安全配置错误是最常见的问题。
• 这通常是由不安全的默认配置，不完整或 ad hoc 配置，开放云存储，错误配置的 HTTP 标头，以及包含敏感信息的详细错误信息造成的。
• 所有的操作系统、框架、库、应用程序都需要进行安全配置外，还必须要及时进行系统更新和升级。

A7-Cross-Siteing（XSS）跨站脚本攻击

• 如果应用程序在未经适当验证或转义的情况下，能够在新网页中包含不受信任的数据，或是使用可以创建 HTML 或者 Java 的浏览器 API 更新包含用户提供的数据的现有网页，就会出现 XSS 漏洞。
• XSS 允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。

A8-InsecureDeserialization（不安全的反序列化）

• 不安全的反序列化漏洞通常会导致远程代码执行问题。
• 即使反序列化错误不会导致远程代码执行，也可以被用来执行攻击，包括重放攻击、注入攻击以及权限提升攻击等。