28-系統(tǒng)安全08-Web安全04-OWASP Top 10 安全風(fēng)險(xiǎn)與防護(hù)

OWASPTop10安全風(fēng)險(xiǎn)與防護(hù)熟練掌握OWASPTOP10包含的內(nèi)容了解每種Web應(yīng)用所面臨的安全風(fēng)險(xiǎn)熟練掌握每種Web應(yīng)用所采取的安全策略教學(xué)目標(biāo)OWASPTop10OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)目錄OWASPTop10OWASP（OpenWebApplicationSecurityProject，開放式Web應(yīng)用程序安全項(xiàng)目）是一個(gè)在線社區(qū)，開源的、非盈利的全球性安全組織，主要在Web應(yīng)用安全領(lǐng)域提供文章、方法論、文檔、工具和技術(shù)，致力于應(yīng)用軟件的安全研究。OWASP的使命是使應(yīng)用軟件更加安全，使企業(yè)和組織能夠?qū)?yīng)用安全風(fēng)險(xiǎn)做出更清晰的決策。目前OWASP全球擁有250個(gè)分部，近7萬名會(huì)員，共同推動(dòng)了安全標(biāo)準(zhǔn)、安全測(cè)試工具、安全指導(dǎo)手冊(cè)等應(yīng)用安全技術(shù)的發(fā)展。OWASPTop10列出了公認(rèn)的最有威脅性的Web應(yīng)用安全漏洞，總結(jié)并更新Web應(yīng)用程序中最可能、最常見、最危險(xiǎn)的十大漏洞。OWASPTop10攻擊者可以通過應(yīng)用程序中許多的不同的路徑方式去危害企業(yè)業(yè)務(wù)，每種路徑方法都代表了一種風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)都值得關(guān)注。OWASPTop10OWASPTop10基于OWASP風(fēng)險(xiǎn)等級(jí)排序方法的簡(jiǎn)單評(píng)級(jí)方案OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)注入將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時(shí)，會(huì)產(chǎn)生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當(dāng)授權(quán)的情況下執(zhí)行非預(yù)期命令或訪問數(shù)據(jù)。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)注入--脆弱點(diǎn)應(yīng)用程序存在如下情況時(shí)，是脆弱的且易受攻擊：用戶提供的數(shù)據(jù)沒有經(jīng)過應(yīng)用程序的驗(yàn)證、過濾或凈化動(dòng)態(tài)查詢語句或非參數(shù)化的調(diào)用，在沒有上下文感知轉(zhuǎn)義的情況下，被用于解釋器。在ORM搜索參數(shù)中使用了惡意數(shù)據(jù)，這樣搜索就獲得包含敏感或未授權(quán)的數(shù)據(jù)惡意數(shù)據(jù)直接被使用或連接，諸如SQL語句或命令在動(dòng)態(tài)查詢語句、命令或存儲(chǔ)過程中包含結(jié)構(gòu)和惡意數(shù)據(jù)OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)注入--防護(hù)策略防止注入漏洞需要將數(shù)據(jù)與命令語句、查詢語句分隔開來。最佳選擇是使用安全的API，完全避免使用解釋器，或提供參數(shù)化界面的接口，或遷移到ORM或?qū)嶓w框架。使用正確的或“白名單”的具有恰當(dāng)規(guī)范化的輸入驗(yàn)證方法同樣會(huì)有助于防止注入攻擊，但這不是一個(gè)完整的防御，因?yàn)樵S多應(yīng)用程序在輸入中需要特殊字符，例如文本區(qū)域或移動(dòng)應(yīng)用程序的API。對(duì)于任何剩余的動(dòng)態(tài)查詢，可以使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符。OWASP的JavaEncoder和類似的庫提供了這樣的轉(zhuǎn)義例程。在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入時(shí)大量地泄露記錄。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的身份認(rèn)證通常，通過錯(cuò)誤使用應(yīng)用程序的身份認(rèn)證和會(huì)話管理功能，攻擊者能夠破譯密碼、密鑰或會(huì)話令牌，或者利用其它開發(fā)缺陷來暫時(shí)性或永久性冒充其他用戶的身份。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的身份認(rèn)證--脆弱點(diǎn)應(yīng)用程序存在如下情況時(shí)，那么可能存在身份驗(yàn)證的脆弱性：允許憑證填充，這使得攻擊者獲得有效用戶名和密碼的列表允許暴力破解或其他自動(dòng)攻擊允許默認(rèn)的、弱的或眾所周知的密碼，例如“Password1”或“admin/admin使用弱的或失效的驗(yàn)證憑證，忘記密碼程序，例如“基于知識(shí)的答案”使用明文、加密或弱散列密碼（參見：敏感數(shù)據(jù)泄露）缺少或失效的多因素身份驗(yàn)證暴露URL中的會(huì)話ID（例如URL重寫）在成功登錄后不會(huì)更新會(huì)話ID。不正確地使會(huì)話ID失效。當(dāng)用戶不活躍的時(shí)候，用戶會(huì)話或認(rèn)證令牌（特別是單點(diǎn)登錄（SSO）令牌）沒有正確注銷或失效OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的身份認(rèn)證--防護(hù)策略在可能的情況下，實(shí)現(xiàn)多因素身份驗(yàn)證，以防止自動(dòng)、憑證填充、暴力破解和被盜憑據(jù)再利用攻擊不要使用發(fā)送或部署默認(rèn)的憑證，特別是管理員用戶執(zhí)行弱密碼檢查，例如測(cè)試新或變更的密碼，以糾正“排名前10000個(gè)弱密碼”將密碼長(zhǎng)度、復(fù)雜性和循環(huán)策略與NIST-800-63B的指導(dǎo)方針（記住秘密）或其他現(xiàn)代的基于證據(jù)的密碼策略相一致確認(rèn)注冊(cè)、憑據(jù)恢復(fù)和API路徑，通過對(duì)所有輸出結(jié)果使用相同的消息，用以抵御賬戶枚舉攻擊限制或逐漸延遲失敗的登錄嘗試。記錄所有失敗信息并在憑據(jù)填充、暴力破解或其他攻擊被檢測(cè)時(shí)提醒管理員。使用服務(wù)器端安全的內(nèi)置會(huì)話管理器，在登錄后生成高度復(fù)雜的新隨機(jī)會(huì)話ID。會(huì)話ID不能在URL中，可以安全地存儲(chǔ)和當(dāng)?shù)浅?、閑置、絕對(duì)超時(shí)后使其失效。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)敏感數(shù)據(jù)泄露我們需要對(duì)敏感數(shù)據(jù)加密，這些數(shù)據(jù)包括：傳輸過程中的數(shù)據(jù)、存儲(chǔ)的數(shù)據(jù)以及瀏覽器的交互數(shù)據(jù)。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)敏感數(shù)據(jù)泄露--脆弱性對(duì)于敏感數(shù)據(jù)，要確定：在數(shù)據(jù)傳輸過程中是否使用明文傳輸？這和傳輸協(xié)議相關(guān)，如：HTTP、SMTP和FTP。外部網(wǎng)絡(luò)流量非常危險(xiǎn)。驗(yàn)證所有的內(nèi)部通信，如：負(fù)載平衡器、Web服務(wù)器或后端系統(tǒng)之間的通信。當(dāng)數(shù)據(jù)被長(zhǎng)期存儲(chǔ)時(shí)，無論存儲(chǔ)在哪里，它們是否都被加密，包含備份數(shù)據(jù)？無論默認(rèn)條件還是源代碼中，是否還在使用任何舊的或脆弱的加密算法？是否使用默認(rèn)加密密鑰，生成或重復(fù)使用脆弱的加密密鑰，或者缺少恰當(dāng)?shù)拿荑€管理或密鑰回轉(zhuǎn)？是否強(qiáng)制加密敏感數(shù)據(jù)，例如：用戶代理（如：瀏覽器）指令和傳輸協(xié)議是否被加密？用戶代理（如：應(yīng)用程序、郵件客戶端）是否未驗(yàn)證服務(wù)器端證書的有效性？OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)敏感數(shù)據(jù)泄露--防護(hù)策略對(duì)系統(tǒng)處理、存儲(chǔ)或傳輸?shù)臄?shù)據(jù)分類，并根據(jù)分類進(jìn)行訪問控制。熟悉與敏感數(shù)據(jù)保護(hù)相關(guān)的法律和條例，并根據(jù)每項(xiàng)法規(guī)要求保護(hù)敏感數(shù)據(jù)。對(duì)于沒必要存放的、重要的敏感數(shù)據(jù)，應(yīng)當(dāng)盡快清除，或者通過PCIDSS標(biāo)記或攔截。確保存儲(chǔ)的所有敏感數(shù)據(jù)被加密。確保使用了最新的、強(qiáng)大的標(biāo)準(zhǔn)算法或密碼、參數(shù)、協(xié)議和密匙，并且密鑰管理到位。確保傳輸過程中的數(shù)據(jù)被加密（HTTPS）；確保數(shù)據(jù)加密被強(qiáng)制執(zhí)行。禁止緩存對(duì)包含敏感數(shù)據(jù)的響應(yīng)。確保使用密碼專用算法存儲(chǔ)密碼。將工作因素（延遲因素）設(shè)置在可接受范圍。單獨(dú)驗(yàn)證每個(gè)安全配置項(xiàng)的有效性。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)XML外部實(shí)體（XXE）攻擊者可以利用外部實(shí)體竊取使用URI文件處理器的內(nèi)部文件和共享文件、監(jiān)聽內(nèi)部掃描端口、執(zhí)行遠(yuǎn)程代碼和實(shí)施拒絕服務(wù)攻擊。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)XML外部實(shí)體（XXE）--脆弱性應(yīng)用程序和特別是基于XML的Web服務(wù)或向下集成，可能在以下方面容易受到攻擊：應(yīng)用程序直接接受XML文件或者接受XML文件上傳，特別是來自不受信任源的文件，或者將不受信任的數(shù)據(jù)插入XML文件，并提交給XML處理器解析。在應(yīng)用程序或基于Web服務(wù)的SOAP中，所有XML處理器都啟用了文檔類型定義（DTDs）。因?yàn)榻肈TD進(jìn)程的確切機(jī)制因處理器而不同。如果為了實(shí)現(xiàn)安全性或單點(diǎn)登錄（SSO），應(yīng)用程序使用SAML進(jìn)行身份認(rèn)證。而SAML使用XML進(jìn)行身份確認(rèn)，那么應(yīng)用程序就容易受到XXE攻擊。如果應(yīng)用程序使用第1.2版之前的SOAP，并將XML實(shí)體傳遞到SOAP框架，那么它可能受到XXE攻擊。存在XXE缺陷的應(yīng)用程序更容易受到拒絕服務(wù)攻擊，包括：BillionLaughs攻擊。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)XML外部實(shí)體（XXE）--防護(hù)策略盡可能使用簡(jiǎn)單的數(shù)據(jù)格式（如：JSON），避免對(duì)敏感數(shù)據(jù)進(jìn)行序列化。及時(shí)修復(fù)或更新應(yīng)用程序或底層操作系統(tǒng)使用的所有XML處理器和庫。同時(shí)，通過依賴項(xiàng)檢測(cè)，將SOAP更新到1.2版本或更高版本。在應(yīng)用程序的所有XML解析器中禁用XML外部實(shí)體和DTD進(jìn)程。在服務(wù)器端實(shí)施積極的（“白名單”）輸入驗(yàn)證、過濾和清理，以防止在XML文檔、標(biāo)題或節(jié)點(diǎn)中出現(xiàn)惡意數(shù)據(jù)。驗(yàn)證XML或XSL文件上傳功能是否使用XSD驗(yàn)證或其他類似驗(yàn)證方法來驗(yàn)證上傳的XML文件。盡管在許多集成環(huán)境中，手動(dòng)代碼審查是大型、復(fù)雜應(yīng)用程序的最佳選擇，但是SAST工具可以檢測(cè)源代碼中的XXE漏洞。如果無法實(shí)現(xiàn)這些控制，請(qǐng)考慮使用虛擬修復(fù)程序、API安全網(wǎng)關(guān)或Web應(yīng)用程序防火墻（WAF）來檢測(cè)、監(jiān)控和防止XXE攻擊。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的訪問控制未對(duì)通過身份驗(yàn)證的用戶實(shí)施恰當(dāng)?shù)脑L問控制。攻擊者可以利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問權(quán)限等。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的訪問控制--脆弱性常見的訪問控制脆弱點(diǎn)包括：通過修改URL、內(nèi)部應(yīng)用程序狀態(tài)或HTML頁面繞過訪問控制檢查，或簡(jiǎn)單地使用自定義的API攻擊工具。允許將主鍵更改為其他用戶的記錄，例如查看或編輯他人的帳戶。特權(quán)提升。在不登錄的情況下假扮用戶，或以用戶身份登錄時(shí)充當(dāng)管理員。元數(shù)據(jù)操作，如重放或篡改JWT訪問控制令牌，或作以提升權(quán)限的cookie或隱藏字段。CORS配置錯(cuò)誤允許未授權(quán)的API訪問。以未通過身份驗(yàn)證的用戶身份強(qiáng)制瀏覽的通過身份驗(yàn)證時(shí)才能看到的頁面、或作為標(biāo)準(zhǔn)用戶訪問具有相關(guān)權(quán)限的頁面、或API沒有對(duì)POST、PUT和DELETE強(qiáng)制執(zhí)行訪問控制。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)失效的訪問控制--防護(hù)策略訪問控制只有在受信服務(wù)器端代碼或沒有服務(wù)器的API中有效，這樣攻擊者才無法修改訪問控制檢查或元數(shù)據(jù)。除公有資源外，默認(rèn)情況下拒絕訪問。使用一次性的訪問控制機(jī)制，并在整個(gè)應(yīng)用程序中不斷重用它們，包括最小化CORS使用。建立訪問控制模型以強(qiáng)制執(zhí)行所有權(quán)記錄，而不是接受用戶創(chuàng)建、讀取、更新或刪除的任何記錄。域訪問控制對(duì)每個(gè)應(yīng)用程序都是唯一的，但業(yè)務(wù)限制要求應(yīng)由域模型強(qiáng)制執(zhí)行。禁用Web服務(wù)器目錄列表，并確保文件元數(shù)據(jù)（如：git）不存在于Web的根目錄中。記錄失敗的訪問控制，并在適當(dāng)時(shí)向管理員告警（如：重復(fù)故障）。對(duì)API和控制器的訪問進(jìn)行速率限制，以最大限度地降低自動(dòng)化攻擊工具的危害。當(dāng)用戶注銷后，服務(wù)器上的JWT令牌應(yīng)失效。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)安全配置錯(cuò)誤安全配置錯(cuò)誤是最常見的安全問題，這通常是由于不安全的默認(rèn)配置、不完整的臨時(shí)配置、開源云存儲(chǔ)、錯(cuò)誤的HTTP標(biāo)頭配置以及包含敏感信息的詳細(xì)錯(cuò)誤信息所造成的。因此，我們不僅需要對(duì)所有的操作系統(tǒng)、框架、庫和應(yīng)用程序進(jìn)行安全配置，而且必須及時(shí)修補(bǔ)和升級(jí)它們。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)安全配置錯(cuò)誤--脆弱性應(yīng)用程序存在以下情況，可能受到攻擊：應(yīng)用程序棧堆的任何部分都缺少適當(dāng)?shù)陌踩庸蹋蛘咴品?wù)的權(quán)限配置錯(cuò)誤。應(yīng)用程序啟用或安裝了不必要的功能（例如：不必要的端口、服務(wù)、網(wǎng)頁、帳戶或權(quán)限）。默認(rèn)帳戶的密碼仍然可用且沒有更改。錯(cuò)誤處理機(jī)制向用戶披露堆棧跟蹤或其他大量錯(cuò)誤信息。對(duì)于更新的系統(tǒng)，禁用或不安全地配置最新的安全功能。應(yīng)用程序服務(wù)器、應(yīng)用程序框架（Struts、Spring、ASP.NET）、庫文件、數(shù)據(jù)庫等沒有進(jìn)行安全配置。服務(wù)器不發(fā)送安全標(biāo)頭或指令，或者未對(duì)服務(wù)器進(jìn)行安全配置。您的應(yīng)用軟件已過期或易受攻擊（參見：使用含有已知漏洞的組件）。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)安全配置錯(cuò)誤--防護(hù)策略一個(gè)可以快速且易于部署在另一個(gè)鎖定環(huán)境的可重復(fù)的加固過程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該進(jìn)行相同配置，并且在每個(gè)環(huán)境中使用不同的密碼。這個(gè)過程應(yīng)該是自動(dòng)化的，以盡量減少安裝一個(gè)新安全環(huán)境的耗費(fèi)。搭建最小化平臺(tái)，該平臺(tái)不包含任何不必要的功能、組件、文檔和示例。移除不適用的功能和框架。檢查和修復(fù)安全配置項(xiàng)來適應(yīng)最新的安全說明、更新和補(bǔ)丁，并將其作為更新管理過程的一部分,（參見：使用含有已知漏洞的組件）。在檢查過程中，應(yīng)特別注意云存儲(chǔ)權(quán)限。一個(gè)能在組件和用戶間提供有效的分離和安全性的分段應(yīng)用程序架構(gòu)，包括分段、容器化和云安全組。向客戶端發(fā)送安全指令，如：安全標(biāo)頭。在所有環(huán)境中能夠進(jìn)行正確安全配置和設(shè)置的自動(dòng)化過程。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)跨站腳本（XSS）當(dāng)應(yīng)用程序的新網(wǎng)頁中包含不受信任的、未經(jīng)恰當(dāng)驗(yàn)證或轉(zhuǎn)義的數(shù)據(jù)時(shí)，或者使用可以創(chuàng)建HTML或JavaScript的瀏覽器API更新現(xiàn)有的網(wǎng)頁時(shí)，就會(huì)出現(xiàn)XSS缺陷。XSS讓攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本，并劫持用戶會(huì)話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c(diǎn)。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)跨站腳本（XSS）--脆弱性典型的XSS攻擊可導(dǎo)致盜取session、賬戶、繞過MFA、DIV替換、對(duì)用戶瀏覽器的攻擊（例如：惡意軟件下載、鍵盤記錄）以及其他用戶側(cè)的攻擊。存在三種XSS類型，通常針對(duì)用戶的瀏覽器：反射式XSS：應(yīng)用程序或API包括未經(jīng)驗(yàn)證和未經(jīng)轉(zhuǎn)義的用戶輸入，作為HTML輸出的一部分。一個(gè)成功的攻擊可以讓攻擊者在受害者的瀏覽器中執(zhí)行任意的HTML和JavaScript。通常，用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進(jìn)行交互，例如惡意漏洞網(wǎng)站，廣告或類似內(nèi)容。存儲(chǔ)式XSS：你的應(yīng)用或者API將未凈化的用戶輸入存儲(chǔ)下來了，并在后期在其他用戶或者管理員的頁面展示出來。存儲(chǔ)型XSS一般被認(rèn)為是高?；驀?yán)重的風(fēng)險(xiǎn)?；贒OM的XSS：會(huì)動(dòng)態(tài)的將攻擊者可控的內(nèi)容加入頁面的JavaScript框架、單頁面程序或API存在這種類型的漏洞。理想的來說，你應(yīng)該避免將攻擊者可控的數(shù)據(jù)發(fā)送給不安全的JavaScriptAPI。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)跨站腳本（XSS）--防護(hù)策略防止XSS需要將不可信數(shù)據(jù)與動(dòng)態(tài)的瀏覽器內(nèi)容區(qū)分開。使用設(shè)計(jì)上就會(huì)自動(dòng)編碼來解決XSS問題的框架，如：Ruby3.0或ReactJS。為了避免反射式或存儲(chǔ)式的XSS漏洞，要根據(jù)HTML輸出的上下文（包括：主體、屬性、JavaScript、CSS或URL）對(duì)所有不可信的HTTP請(qǐng)求數(shù)據(jù)進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義。在客戶端修改瀏覽器文檔時(shí)，為了避免DOMXSS攻擊，最好的選擇是實(shí)施上下文敏感數(shù)據(jù)編碼。如果這種情況不能避免，可以采用類似上下文敏感的轉(zhuǎn)義技術(shù)應(yīng)用于瀏覽器API。使用內(nèi)容安全策略（CSP）是對(duì)抗XSS的深度防御策略。如果不存在可以通過本地文件放置惡意代碼的其他漏洞（例如：路徑遍歷覆蓋和允許在網(wǎng)絡(luò)中傳輸?shù)囊资芄舻膸欤?，則該策略是有效的。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)不安全的反序列化不安全的反序列化會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行。即使反序列化缺陷不會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行，攻擊者也可以利用它們來執(zhí)行攻擊，包括：重播攻擊、注入攻擊和特權(quán)升級(jí)攻擊。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)不安全的反序列化--脆弱性如果反序列化進(jìn)攻者提供的敵意或者篡改過的對(duì)象將會(huì)使將應(yīng)用程序和API變的脆弱。這可能導(dǎo)致兩種主要類型的攻擊：如果應(yīng)用中存在可以在反序列化過程中或者之后被改變行為的類，則攻擊者可以通過改變應(yīng)用邏輯或者實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。我們將其稱為對(duì)象和數(shù)據(jù)結(jié)構(gòu)攻擊。典型的數(shù)據(jù)篡改攻擊，如訪問控制相關(guān)的攻擊，其中使用了現(xiàn)有的數(shù)據(jù)結(jié)構(gòu)，但內(nèi)容發(fā)生了變化。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)不安全的反序列化--脆弱性在應(yīng)用程序中，序列化可能被用于:遠(yuǎn)程和進(jìn)程間通信（RPC/IPC）連線協(xié)議、Web服務(wù)、消息代理緩存/持久性數(shù)據(jù)庫、緩存服務(wù)器、文件系統(tǒng)HTTPcookie、HTML表單參數(shù)、API身份驗(yàn)證令牌OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)不安全的反序列化--防護(hù)策略安全的架構(gòu)模式是不接受來自不受信源的序列化對(duì)象，或使用只允許原始數(shù)據(jù)類型的序列化媒體。如果不可能的話，考慮使用下述方法：執(zhí)行完整性檢查，如：任何序列化對(duì)象的數(shù)字簽名，以防止惡意對(duì)象創(chuàng)建或數(shù)據(jù)篡改。在創(chuàng)建對(duì)象之前強(qiáng)制執(zhí)行嚴(yán)格的類型約束，因?yàn)榇a通常被期望成一組可定義的類。繞過這種技術(shù)的方法已經(jīng)被證明，所以完全依賴于它是不可取的。如果可能，隔離運(yùn)行那些在低特權(quán)環(huán)境中反序列化的代碼。記錄反序列化的例外情況和失敗信息，如：傳入的類型不是預(yù)期的類型或反序列處理引發(fā)的例外情況。限制或監(jiān)視來自于容器或服務(wù)器傳入和傳出的反序列化網(wǎng)絡(luò)連接。監(jiān)控反序列化，當(dāng)用戶持續(xù)進(jìn)行反序列化時(shí)，對(duì)用戶進(jìn)行警告。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)使用含有已知漏洞的組件組件（例如：庫、框架和其他軟件模塊）擁有和應(yīng)用程序相同的權(quán)限。如果應(yīng)用程序中含有已知漏洞的組件被攻擊者利用，可能會(huì)造成嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管。同時(shí)，使用含有已知漏洞的組件的應(yīng)用程序和API可能會(huì)破壞應(yīng)用程序防御、造成各種攻擊并產(chǎn)生嚴(yán)重影響。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)使用含有已知漏洞的組件--脆弱性如果滿足下面的某個(gè)條件，那么應(yīng)用程序就易受此類攻擊：如果不知道所有使用的組件版本信息（包括：服務(wù)端和客戶端）。這包括了直接使用的組件或其依賴的組件。如果軟件易受攻擊，不再支持或者過時(shí)。這包括：OS、Web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)（DBMS）、應(yīng)用程序、API和所有的組件、運(yùn)行環(huán)境和庫。如果你定期做漏洞掃描和訂閱你使用組件的安全公告。如果不基于風(fēng)險(xiǎn)并及時(shí)修復(fù)或升級(jí)底層平臺(tái)、框架和依賴庫。很可能發(fā)生這種情況：根據(jù)變更控制，每月或每季度進(jìn)行升級(jí)，這使得組織在這段時(shí)間內(nèi)會(huì)受到已修復(fù)但未修補(bǔ)的漏洞的威脅。如果軟件工程師沒有對(duì)更新的、升級(jí)的或打過補(bǔ)丁的組件進(jìn)行兼容性測(cè)試。如果你沒有對(duì)組件進(jìn)行安全配置。OWASPTop10（2017）風(fēng)險(xiǎn)與防護(hù)使用含有已知漏洞的組件--防護(hù)策略應(yīng)該制定一個(gè)補(bǔ)丁管理流程：移除不使用的依賴、不需要的功能、組件、文件和文檔。利用如versions、DependencyCheck、retire.js等工具來持續(xù)的記錄客戶端和服務(wù)器端以及它們的依賴庫的版本信息。持續(xù)監(jiān)控如CVE和NVD等是否發(fā)布已使用組件的漏洞信息。訂閱關(guān)于使用組件安全漏洞的警告郵件。僅從官方渠道安全的獲取組件，使用簽名機(jī)制降低組件被篡改或惡意漏洞的風(fēng)險(xiǎn)。監(jiān)控那些不再維護(hù)或者不發(fā)布安全補(bǔ)丁的庫和組件。如果