《網(wǎng)絡(luò)空間安全導(dǎo)論》 課件 27-系統(tǒng)安全07-Web安全03-常見Web安全漏洞、04-OWASP Top 10 安全風(fēng)險與防護

常見Web安全漏洞了解常見的Web安全漏洞及其危害教學(xué)目標信息泄露目錄遍歷跨站腳本攻擊（XSS）SQL注入文件上傳漏洞命令執(zhí)行文件包含Web中間件推薦書籍目錄信息泄露概念信息泄露是由于Web服務(wù)器或應(yīng)用程序沒有正確處理一些特殊請求，泄露Web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。造成信息泄露主要的三個原因：Web服務(wù)器配置存在問題，導(dǎo)致一些系統(tǒng)文件或者配置文件暴露在互聯(lián)網(wǎng)中Web服務(wù)器本身存在漏洞，在瀏覽器中輸入一些特殊的字符，可以訪問未授權(quán)的文件或者動態(tài)腳本文件源碼Web網(wǎng)站的程序編寫存在問題，對用戶提交請求沒有進行適當(dāng)?shù)倪^濾，直接使用用戶提交上來的數(shù)據(jù)信息泄露案例敏感信息可能會不慎泄露給僅以正常方式瀏覽網(wǎng)站的用戶。但是更常見的是，攻擊者需要通過意外或惡意的方式與網(wǎng)站進行交互來引發(fā)信息泄露。然后，將仔細研究網(wǎng)站的響應(yīng)，以嘗試找出有趣的行為。通過robots.txt文件或目錄列表顯示隱藏目錄的名稱，它們的結(jié)構(gòu)及其內(nèi)容通過臨時備份提供對源代碼文件的訪問在錯誤消息中明確提及數(shù)據(jù)庫表或列名不必要地暴露高度敏感的信息，例如信用卡詳細信息在源代碼中對API密鑰，IP地址，數(shù)據(jù)庫憑證等進行硬編碼通過應(yīng)用程序行為的細微差別來提示是否存在資源，用戶名等信息泄露案例源碼泄露git源碼泄露git源碼泄露，只要有g(shù)it目錄存在，就可以嘗試將其源碼導(dǎo)出利用githack工具，在ubuntu中先進入githack-master中，然后輸入：pythonGitHack.pyhttp://ip/.git/即可將源碼下載下來信息泄露案例源碼泄露hg源碼泄露利用工具dvcs-ripper可以將源碼導(dǎo)出DS_Store文件泄露利用工具ds_store_exp可恢復(fù)文件名，不可恢復(fù)文件內(nèi)容網(wǎng)站備份文件泄露管理員備份網(wǎng)站文件后錯誤的將備份放在Web目錄下，常見后綴名有：.rar、.zip、.7z、.tar、.tar.gz、.bak、.txtsvn泄露重要的文件是/.svn/wc.db和/.svn/entries，同樣可利用dvcs-ripper工具信息泄露案例源碼泄露web-inf/web.xml泄露web-inf是JavaWeb應(yīng)用的安全目錄，web.xml中有文件的映射關(guān)系CVS泄露http://url/CVS/Root返回根信息http://url/CVS/Entries返回所有文件的結(jié)構(gòu)bkclonehttp://url/namedir取回源碼目錄遍歷概念目錄遍歷（目錄穿越）是一個Web安全漏洞，攻擊者可以利用該漏洞讀取運行應(yīng)用程序的服務(wù)器上的任意文件。這可能包括應(yīng)用程序代碼和數(shù)據(jù)，后端系統(tǒng)的登錄信息以及敏感的操作系統(tǒng)文件。危害目錄遍歷最大的危害是能夠讓任意用戶訪問系統(tǒng)的敏感文件，繼而攻陷整個服務(wù)器。目錄遍歷

案例直接訪問Web應(yīng)用存在的一些目錄，如果返回文件列表信息，證明存在此漏洞。目錄遍歷案例使用”../”測試，/var/www/images/../../../etc/passwd等價于/etc/passwd跨站腳本攻擊（XSS）概念跨站腳本攻擊（XSS），指攻擊者通過在Web頁面中寫入惡意腳本，造成用戶在瀏覽頁面時，控制用戶瀏覽器進行操作的攻擊方式。跨站腳本攻擊（XSS）類型反射型存儲型DOM型危害盜取cookieXSS蠕蟲攻擊會話劫持釣魚攻擊跨站腳本攻擊（XSS）案例SQL注入漏洞概念SQL注入漏洞，Web系統(tǒng)對數(shù)據(jù)庫訪問語句過濾不嚴，入侵者在合法參數(shù)的位置，傳入特殊的字符、命令，實現(xiàn)對后臺數(shù)據(jù)庫的入侵。類型數(shù)據(jù)型Select*fromtablewhereid=xss字符型Select*fromtablewhereusername=‘test’危害數(shù)據(jù)庫信息泄露、數(shù)據(jù)篡改、掛馬等SQL注入漏洞案例文件上傳漏洞概念文件上傳漏洞，網(wǎng)站W(wǎng)EB應(yīng)用都有一些文件上傳功能，比如文檔、圖片、頭像、視頻上傳，當(dāng)上傳功能的實現(xiàn)代碼沒有嚴格校驗上傳文件的后綴和文件類型時，就可以上傳任意文件，甚至可執(zhí)行文件后門。類型根據(jù)網(wǎng)站使用及可解析的程序腳本不同，可以上傳的惡意腳本可以是PHP、ASP、JSP、ASPX文件等危害惡意文件傳遞給解釋器去執(zhí)行，之后就可以在服務(wù)器上執(zhí)行惡意代碼，可實現(xiàn)數(shù)據(jù)庫執(zhí)行、服務(wù)器文件管理，服務(wù)器命令執(zhí)行等惡意操作。文件上傳漏洞案例命令執(zhí)行概念命令執(zhí)行，應(yīng)用程序有時需要調(diào)用一些執(zhí)行系統(tǒng)命令的函數(shù)，而Web開發(fā)語言中部分函數(shù)可以執(zhí)行系統(tǒng)命令，如PHP中的system、exec、shell_exec等函數(shù)。危害當(dāng)黑客控制這些函數(shù)的參數(shù)時，就可以將惡意的系統(tǒng)命令拼接到正常命令中，從而造成命令執(zhí)行攻擊，若當(dāng)前用戶為root用戶，危害程度將更嚴重。命令執(zhí)行案例文件包含漏洞概念文件包含，程序開發(fā)人員一般會把重復(fù)使用的函數(shù)寫到單個文件中，需要使用某個函數(shù)時直接調(diào)用此文件，而無需再次編寫，這中文件調(diào)用的過程一般被稱為文件包含。所有腳本語言都會提供文件包含的功能，但文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、ASP.NET程序中卻非常少，甚至沒有。常見包含函數(shù)有：include()、require()類型本地包含遠程包含危害文件包含函數(shù)加載的參數(shù)沒有經(jīng)過過濾或者嚴格的定義，可以被用戶控制，包含其他惡意文件，導(dǎo)致了執(zhí)行了非預(yù)期的代碼。文件包含漏洞案例Web中間件概念Web中間件，介于操作系統(tǒng)和應(yīng)用程序之間的產(chǎn)品，面向信息系統(tǒng)交互，集成過程中的通用部分的集合，屏蔽了底層的通訊，交互，連接等復(fù)雜又通用化的功能，以產(chǎn)品的形式提供出來，系統(tǒng)在交互時，直接采用中間件進行連接和交互即可，避免了大量的代碼開發(fā)和人工成本。類型（常見）IISApacheTomcatNginxWebLogicJbossWeb中間件常見漏洞

中件間名稱漏洞IIS解析漏洞、PUT命令執(zhí)行漏洞、PUT文件上傳漏洞、短文件名猜解Apache文件解析漏洞Tomcat任意寫文件漏洞（CVE-2017-12615）、遠程部署漏洞、任意文件讀取/包含漏洞（CVE-2020-1938）Nginx文件解析漏洞、目錄穿越\遍歷漏洞（配置不當(dāng)）WebLogic弱口令&&遠程部署漏洞、任意文件上傳漏洞（CVE-2018-2894）、SSRF漏洞（CVE-2014-4210）Jboss反序列化漏洞（CVE-2017-12149）、JBoss4.xJBossMQJMS反序列化漏洞（CVE-2017-7504）、弱口令&&遠程部署漏洞Web中間件漏洞樣例（Tomcat·CVE-2020-1938）TomcatTomcat是由Apache軟件基金會屬下Jakarta項目開發(fā)的Servlet容器，按照SunMicrosystems提供的技術(shù)規(guī)范，實現(xiàn)了對Servlet和JavaServerPage（JSP）的支持。由于Tomcat本身也內(nèi)含了HTTP服務(wù)器，因此也可以視作單獨的Web服務(wù)器。影響版本ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.xWeb中間件漏洞樣例（Tomcat·CVE-2020-1938）漏洞危害

Web中間件漏洞樣例（Tomcat·CVE-2020-1938）漏洞范圍

推薦書籍圖書類信息泄露目錄遍歷站腳本攻擊（XSS）SQL注入文件上傳漏洞命令執(zhí)行文件包含Web中間件推薦書籍總結(jié)OWASPTop10安全風(fēng)險與防護熟練掌握OWASPTOP10包含的內(nèi)容了解每種Web應(yīng)用所面臨的安全風(fēng)險熟練掌握每種Web應(yīng)用所采取的安全策略教學(xué)目標OWASPTop10OWASPTop10（2017）風(fēng)險與防護目錄OWASPTop10OWASP（OpenWebApplicationSecurityProject，開放式Web應(yīng)用程序安全項目）是一個在線社區(qū)，開源的、非盈利的全球性安全組織，主要在Web應(yīng)用安全領(lǐng)域提供文章、方法論、文檔、工具和技術(shù)，致力于應(yīng)用軟件的安全研究。OWASP的使命是使應(yīng)用軟件更加安全，使企業(yè)和組織能夠?qū)?yīng)用安全風(fēng)險做出更清晰的決策。目前OWASP全球擁有250個分部，近7萬名會員，共同推動了安全標準、安全測試工具、安全指導(dǎo)手冊等應(yīng)用安全技術(shù)的發(fā)展。OWASPTop10列出了公認的最有威脅性的Web應(yīng)用安全漏洞，總結(jié)并更新Web應(yīng)用程序中最可能、最常見、最危險的十大漏洞。OWASPTop10攻擊者可以通過應(yīng)用程序中許多的不同的路徑方式去危害企業(yè)業(yè)務(wù)，每種路徑方法都代表了一種風(fēng)險，這些風(fēng)險都值得關(guān)注。OWASPTop10OWASPTop10基于OWASP風(fēng)險等級排序方法的簡單評級方案OWASPTop10（2017）風(fēng)險與防護注入將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時，會產(chǎn)生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當(dāng)授權(quán)的情況下執(zhí)行非預(yù)期命令或訪問數(shù)據(jù)。OWASPTop10（2017）風(fēng)險與防護注入--脆弱點應(yīng)用程序存在如下情況時，是脆弱的且易受攻擊：用戶提供的數(shù)據(jù)沒有經(jīng)過應(yīng)用程序的驗證、過濾或凈化動態(tài)查詢語句或非參數(shù)化的調(diào)用，在沒有上下文感知轉(zhuǎn)義的情況下，被用于解釋器。在ORM搜索參數(shù)中使用了惡意數(shù)據(jù)，這樣搜索就獲得包含敏感或未授權(quán)的數(shù)據(jù)惡意數(shù)據(jù)直接被使用或連接，諸如SQL語句或命令在動態(tài)查詢語句、命令或存儲過程中包含結(jié)構(gòu)和惡意數(shù)據(jù)OWASPTop10（2017）風(fēng)險與防護注入--防護策略防止注入漏洞需要將數(shù)據(jù)與命令語句、查詢語句分隔開來。最佳選擇是使用安全的API，完全避免使用解釋器，或提供參數(shù)化界面的接口，或遷移到ORM或?qū)嶓w框架。使用正確的或“白名單”的具有恰當(dāng)規(guī)范化的輸入驗證方法同樣會有助于防止注入攻擊，但這不是一個完整的防御，因為許多應(yīng)用程序在輸入中需要特殊字符，例如文本區(qū)域或移動應(yīng)用程序的API。對于任何剩余的動態(tài)查詢，可以使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符。OWASP的JavaEncoder和類似的庫提供了這樣的轉(zhuǎn)義例程。在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入時大量地泄露記錄。OWASPTop10（2017）風(fēng)險與防護失效的身份認證通常，通過錯誤使用應(yīng)用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其它開發(fā)缺陷來暫時性或永久性冒充其他用戶的身份。OWASPTop10（2017）風(fēng)險與防護失效的身份認證--脆弱點應(yīng)用程序存在如下情況時，那么可能存在身份驗證的脆弱性：允許憑證填充，這使得攻擊者獲得有效用戶名和密碼的列表允許暴力破解或其他自動攻擊允許默認的、弱的或眾所周知的密碼，例如“Password1”或“admin/admin使用弱的或失效的驗證憑證，忘記密碼程序，例如“基于知識的答案”使用明文、加密或弱散列密碼（參見：敏感數(shù)據(jù)泄露）缺少或失效的多因素身份驗證暴露URL中的會話ID（例如URL重寫）在成功登錄后不會更新會話ID。不正確地使會話ID失效。當(dāng)用戶不活躍的時候，用戶會話或認證令牌（特別是單點登錄（SSO）令牌）沒有正確注銷或失效OWASPTop10（2017）風(fēng)險與防護失效的身份認證--防護策略在可能的情況下，實現(xiàn)多因素身份驗證，以防止自動、憑證填充、暴力破解和被盜憑據(jù)再利用攻擊不要使用發(fā)送或部署默認的憑證，特別是管理員用戶執(zhí)行弱密碼檢查，例如測試新或變更的密碼，以糾正“排名前10000個弱密碼”將密碼長度、復(fù)雜性和循環(huán)策略與NIST-800-63B的指導(dǎo)方針（記住秘密）或其他現(xiàn)代的基于證據(jù)的密碼策略相一致確認注冊、憑據(jù)恢復(fù)和API路徑，通過對所有輸出結(jié)果使用相同的消息，用以抵御賬戶枚舉攻擊限制或逐漸延遲失敗的登錄嘗試。記錄所有失敗信息并在憑據(jù)填充、暴力破解或其他攻擊被檢測時提醒管理員。使用服務(wù)器端安全的內(nèi)置會話管理器，在登錄后生成高度復(fù)雜的新隨機會話ID。會話ID不能在URL中，可以安全地存儲和當(dāng)?shù)浅?、閑置、絕對超時后使其失效。OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露我們需要對敏感數(shù)據(jù)加密，這些數(shù)據(jù)包括：傳輸過程中的數(shù)據(jù)、存儲的數(shù)據(jù)以及瀏覽器的交互數(shù)據(jù)。OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露--脆弱性對于敏感數(shù)據(jù)，要確定：在數(shù)據(jù)傳輸過程中是否使用明文傳輸？這和傳輸協(xié)議相關(guān)，如：HTTP、SMTP和FTP。外部網(wǎng)絡(luò)流量非常危險。驗證所有的內(nèi)部通信，如：負載平衡器、Web服務(wù)器或后端系統(tǒng)之間的通信。當(dāng)數(shù)據(jù)被長期存儲時，無論存儲在哪里，它們是否都被加密，包含備份數(shù)據(jù)？無論默認條件還是源代碼中，是否還在使用任何舊的或脆弱的加密算法？是否使用默認加密密鑰，生成或重復(fù)使用脆弱的加密密鑰，或者缺少恰當(dāng)?shù)拿荑€管理或密鑰回轉(zhuǎn)？是否強制加密敏感數(shù)據(jù)，例如：用戶代理（如：瀏覽器）指令和傳輸協(xié)議是否被加密？用戶代理（如：應(yīng)用程序、郵件客戶端）是否未驗證服務(wù)器端證書的有效性？OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露--防護策略對系統(tǒng)處理、存儲或傳輸?shù)臄?shù)據(jù)分類，并根據(jù)分類進行訪問控制。熟悉與敏感數(shù)據(jù)保護相關(guān)的法律和條例，并根據(jù)每項法規(guī)要求保護敏感數(shù)據(jù)。對于沒必要存放的、重要的敏感數(shù)據(jù)，應(yīng)當(dāng)盡快清除，或者通過PCIDSS標記或攔截。確保存儲的所有敏感數(shù)據(jù)被加密。確保使用了最新的、強大的標準算法或密碼、參數(shù)、協(xié)議和密匙，并且密鑰管理到位。確保傳輸過程中的數(shù)據(jù)被加密（HTTPS）；確保數(shù)據(jù)加密被強制執(zhí)行。禁止緩存對包含敏感數(shù)據(jù)的響應(yīng)。確保使用密碼專用算法存儲密碼。將工作因素（延遲因素）設(shè)置在可接受范圍。單獨驗證每個安全配置項的有效性。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）攻擊者可以利用外部實體竊取使用URI文件處理器的內(nèi)部文件和共享文件、監(jiān)聽內(nèi)部掃描端口、執(zhí)行遠程代碼和實施拒絕服務(wù)攻擊。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）--脆弱性應(yīng)用程序和特別是基于XML的Web服務(wù)或向下集成，可能在以下方面容易受到攻擊：應(yīng)用程序直接接受XML文件或者接受XML文件上傳，特別是來自不受信任源的文件，或者將不受信任的數(shù)據(jù)插入XML文件，并提交給XML處理器解析。在應(yīng)用程序或基于Web服務(wù)的SOAP中，所有XML處理器都啟用了文檔類型定義（DTDs）。因為禁用DTD進程的確切機制因處理器而不同。如果為了實現(xiàn)安全性或單點登錄（SSO），應(yīng)用程序使用SAML進行身份認證。而SAML使用XML進行身份確認，那么應(yīng)用程序就容易受到XXE攻擊。如果應(yīng)用程序使用第1.2版之前的SOAP，并將XML實體傳遞到SOAP框架，那么它可能受到XXE攻擊。存在XXE缺陷的應(yīng)用程序更容易受到拒絕服務(wù)攻擊，包括：BillionLaughs攻擊。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）--防護策略盡可能使用簡單的數(shù)據(jù)格式（如：JSON），避免對敏感數(shù)據(jù)進行序列化。及時修復(fù)或更新應(yīng)用程序或底層操作系統(tǒng)使用的所有XML處理器和庫。同時，通過依賴項檢測，將SOAP更新到1.2版本或更高版本。在應(yīng)用程序的所有XML解析器中禁用XML外部實體和DTD進程。在服務(wù)器端實施積極的（“白名單”）輸入驗證、過濾和清理，以防止在XML文檔、標題或節(jié)點中出現(xiàn)惡意數(shù)據(jù)。驗證XML或XSL文件上傳功能是否使用XSD驗證或其他類似驗證方法來驗證上傳的XML文件。盡管在許多集成環(huán)境中，手動代碼審查是大型、復(fù)雜應(yīng)用程序的最佳選擇，但是SAST工具可以檢測源代碼中的XXE漏洞。如果無法實現(xiàn)這些控制，請考慮使用虛擬修復(fù)程序、API安全網(wǎng)關(guān)或Web應(yīng)用程序防火墻（WAF）來檢測、監(jiān)控和防止XXE攻擊。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制未對通過身份驗證的用戶實施恰當(dāng)?shù)脑L問控制。攻擊者可以利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問權(quán)限等。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制--脆弱性常見的訪問控制脆弱點包括：通過修改URL、內(nèi)部應(yīng)用程序狀態(tài)或HTML頁面繞過訪問控制檢查，或簡單地使用自定義的API攻擊工具。允許將主鍵更改為其他用戶的記錄，例如查看或編輯他人的帳戶。特權(quán)提升。在不登錄的情況下假扮用戶，或以用戶身份登錄時充當(dāng)管理員。元數(shù)據(jù)操作，如重放或篡改JWT訪問控制令牌，或作以提升權(quán)限的cookie或隱藏字段。CORS配置錯誤允許未授權(quán)的API訪問。以未通過身份驗證的用戶身份強制瀏覽的通過身份驗證時才能看到的頁面、或作為標準用戶訪問具有相關(guān)權(quán)限的頁面、或API沒有對POST、PUT和DELETE強制執(zhí)行訪問控制。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制--防護策略訪問控制只有在受信服務(wù)器端代碼或沒有服務(wù)器的API中有效，這樣攻擊者才無法修改訪問控制檢查或元數(shù)據(jù)。除公有資源外，默認情況下拒絕訪問。使用一次性的訪問控制機制，并在整個應(yīng)用程序中不斷重用它們，包括最小化CORS使用。建立訪問控制模型以強制執(zhí)行所有權(quán)記錄，而不是接受用戶創(chuàng)建、讀取、更新或刪除的任何記錄。域訪問控制對每個應(yīng)用程序都是唯一的，但業(yè)務(wù)限制要求應(yīng)由域模型強制執(zhí)行。禁用Web服務(wù)器目錄列表，并確保文件元數(shù)據(jù)（如：git）不存在于Web的根目錄中。記錄失敗的訪問控制，并在適當(dāng)時向管理員告警（如：重復(fù)故障）。對API和控制器的訪問進行速率限制，以最大限度地降低自動化攻擊工具的危害。當(dāng)用戶注銷后，服務(wù)器上的JWT令牌應(yīng)失效。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤安全配置錯誤是最常見的安全問題，這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有的操作系統(tǒng)、框架、庫和應(yīng)用程序進行安全配置，而且必須及時修補和升級它們。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤--脆弱性應(yīng)用程序存在以下情況，可能受到攻擊：應(yīng)用程序棧堆的任何部分都缺少適當(dāng)?shù)陌踩庸?，或者云服?wù)的權(quán)限配置錯誤。應(yīng)用程序啟用或安裝了不必要的功能（例如：不必要的端口、服務(wù)、網(wǎng)頁、帳戶或權(quán)限）。默認帳戶的密碼仍然可用且沒有更改。錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。對于更新的系統(tǒng)，禁用或不安全地配置最新的安全功能。應(yīng)用程序服務(wù)器、應(yīng)用程序框架（Struts、Spring、ASP.NET）、庫文件、數(shù)據(jù)庫等沒有進行安全配置。服務(wù)器不發(fā)送安全標頭或指令，或者未對服務(wù)器進行安全配置。您的應(yīng)用軟件已過期或易受攻擊（參見：使用含有已知漏洞的組件）。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤--防護策略一個可以快速且易于部署在另一個鎖定環(huán)境的可重復(fù)的加固過程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該進行相同配置，并且在每個環(huán)境中使用不同的密碼。這個過程應(yīng)該是自動化的，以盡量減少安裝一個新安全環(huán)境的耗費。搭建最小化平臺，該平臺不包含任何不必要的功能、組件、文檔和示例。移除不適用的功能和框架。檢查和修復(fù)安全配置項來適應(yīng)最新的安全說明、更新和補丁，并將其作為更新管理過程的一部分,（參見：使用含有已知漏洞的組件）。在檢查過程中，應(yīng)特別注意云存儲權(quán)限。一個能在組件和用戶間提供有效的分離和安全性的分段應(yīng)用程序架構(gòu)，包括分段、容器化和云安全組。向客戶端發(fā)送安全指令，如：安全標頭。在所有環(huán)境中能夠進行正確安全配置和設(shè)置的自動化過程。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）當(dāng)應(yīng)用程序的新網(wǎng)頁中包含不受信任的、未經(jīng)恰當(dāng)驗證或轉(zhuǎn)義的數(shù)據(jù)時，或者使用可以創(chuàng)建HTML或JavaScript的瀏覽器API更新現(xiàn)有的網(wǎng)頁時，就會出現(xiàn)XSS缺陷。XSS讓攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本，并劫持用戶會話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）--脆弱性典型的XSS攻擊可導(dǎo)致盜取session、賬戶、繞過MFA、DIV替換、對用戶瀏覽器的攻擊（例如：惡意軟件下載、鍵盤記錄）以及其他用戶側(cè)的攻擊。存在三種XSS類型，通常針對用戶的瀏覽器：反射式XSS：應(yīng)用程序或API包括未經(jīng)驗證和未經(jīng)轉(zhuǎn)義的用戶輸入，作為HTML輸出的一部分。一個成功的攻擊可以讓攻擊者在受害者的瀏覽器中執(zhí)行任意的HTML和JavaScript。通常，用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進行交互，例如惡意漏洞網(wǎng)站，廣告或類似內(nèi)容。存儲式XSS：你的應(yīng)用或者API將未凈化的用戶輸入存儲下來了，并在后期在其他用戶或者管理員的頁面展示出來。存儲型XSS一般被認為是高?；驀乐氐娘L(fēng)險?；贒OM的XSS：會動態(tài)的將攻擊者可控的內(nèi)容加入頁面的JavaScript框架、單頁面程序或API存在這種類型的漏洞。理想的來說，你應(yīng)該避免將攻擊者可控的數(shù)據(jù)發(fā)送給不安全的JavaScriptAPI。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）--防護策略防止XSS需要將不可信數(shù)據(jù)與動態(tài)的瀏覽器內(nèi)容區(qū)分開。使用設(shè)計上就會自動編碼來解決XSS問題的框架，如：Ruby3.0或ReactJS。為了避免反射式或存儲式的XSS漏洞，要根據(jù)HTML輸出的上下文（包括：主體、屬性、JavaScript、CSS或URL）對所有不可信的HTTP請求數(shù)據(jù)進行恰當(dāng)?shù)霓D(zhuǎn)義。在客戶端修改瀏覽器文檔時，為了避免DOMXSS攻擊，最好的選擇是實施上下文敏感數(shù)據(jù)編碼。如果這種情況不能避免，可以采用類似上下文敏感的轉(zhuǎn)義技術(shù)應(yīng)用于瀏覽器API。使用內(nèi)容安全策略（CSP）是對抗XSS的深度防御策略。如果不存在可以通過本地文件放置惡意代碼的其他漏洞（例如：路徑遍歷覆蓋和允許在網(wǎng)絡(luò)中傳輸?shù)囊资芄舻膸欤?，則該策略是有效的。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化不安全的反序列化會導(dǎo)致遠程代碼執(zhí)行。即使反序列化缺陷不會導(dǎo)致遠程代碼執(zhí)行，攻擊者也可以利用它們來執(zhí)行攻擊，包括：重播攻擊、注入攻擊和特權(quán)升級攻擊。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化--脆弱性如果反序列化進攻者提供的敵意或者篡改過的對象將會使將應(yīng)用程序和API變的脆弱。這可能導(dǎo)致兩種主要類型的攻擊：如果應(yīng)用中存在可以在反序列化過程中或者之后被改變行為的類，則攻擊者可以通過改變應(yīng)用邏輯或者實現(xiàn)遠程代碼執(zhí)行攻擊。我們將其稱為對象和數(shù)據(jù)結(jié)構(gòu)攻擊。典型的數(shù)據(jù)篡改攻擊，如訪問控制相關(guān)的攻擊，其中使用了現(xiàn)有的數(shù)據(jù)結(jié)構(gòu)，但內(nèi)容發(fā)生了變化。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化--脆弱性在應(yīng)用程序中，序列化可能被用于:遠程和進程間通信（RPC/IPC）連線協(xié)議、Web服務(wù)、消息代理緩存/持久性數(shù)據(jù)庫、緩存服務(wù)器、文件系統(tǒng)HTTPcookie、HTML表單參數(shù)、API身份驗證令牌OWASPTop10（2017）風(fēng)險與防護不安全的反序列化--防護策略安全的架構(gòu)模式是不接受來自不受信源的序列化對象，或使用只允許原始數(shù)據(jù)類型的序列化媒體。如果不可能的話，考慮使用下述方法：執(zhí)行完整性檢查，如：任何序列化對象的數(shù)字簽名，以防止惡意對象創(chuàng)建或數(shù)據(jù)篡改。在創(chuàng)建對象之前強制執(zhí)行嚴格的類型約束，因為代碼通常被期望成一組可定義的類。繞過這種技術(shù)的方法已經(jīng)被證明，所以完全依賴于它是不可取的。如果可能，隔離運行那些在低特權(quán)環(huán)境中反序列化的代碼。記錄反序列化的例外情況和失敗信息，如：傳入的類型不是預(yù)期的類型或反序列處理引發(fā)的例外情況。限制或監(jiān)視來自于容器或服務(wù)器傳入和傳出的反序列化網(wǎng)絡(luò)連接。監(jiān)控反序列化，當(dāng)用戶持續(xù)進行反序列化時，對用戶進行警告。OWASPTop10（2017）風(fēng)險與防護使用含有已知漏洞的組件組件（例如：庫、框架和其他軟件模塊）擁有和應(yīng)用程序相同的權(quán)限。如果應(yīng)用程序中含有已知漏洞的組件被攻擊者利用，可能會造成嚴重的數(shù)據(jù)丟失或服務(wù)器接管。同時，使用含有已知漏洞的組件的應(yīng)用程序和API可能會破壞應(yīng)用程序防御、造成各種攻擊并產(chǎn)生嚴重影響。OWASPTop10（2017）風(fēng)險與防護使用含有已知漏洞的組件--脆弱性如果滿足下面的某個條件，那么應(yīng)用程序就易受此類攻擊：如果不知道所有使用的組件版本信息（包括：服務(wù)端和客戶端）。這包括了直接使用的組件或其依賴的組件。如果軟件易受攻擊，不再支持或者過時。這包括：OS、Web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)（DBMS）、應(yīng)用程序、API和所有的組件、運行環(huán)境和庫。如果你定期做漏洞掃描和訂閱你使用組件的安全公告。如果不基于風(fēng)險并及時修復(fù)或升級底層平臺、框架和依賴庫。很可能發(fā)生這種情況：根據(jù)變更控制，每月或每季度進行升級，這