Web Application Security 网络应用程序安全 - (二)2010年网络安全威胁排行榜TOP 10
2009-11-17 00:00:00 来源:WEB开发网今天要和大家分享的是OWASP在2009-11-13日刚刚发布的2010网络安全威胁排行榜RC版(正式版将即将发布出来了,有兴趣的朋友可以通过这个网址访问:http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Main)
另外,由于TOP 10涵盖的内容很广泛,所以今天只是简单介绍一下TOP 10中的前3个,然后我将会在后续的文章中陆续详细介绍TOP 10里面的其他各项安全威胁。
再另外,本次是我首次翻译英文技术文章,经验匮乏,有翻译或解释得不清楚或不正确的地方,还请各位朋友们多多谅解并加以指正,谢谢。
再再另外,我女朋友为我的此次翻译工作做出了很大的支持和贡献,在此我要衷心的感谢我的女朋友,谢谢你。
好了,我们开始吧。
TOP 1:A1 –Injection 注入攻击
Injection flaws, such as SQL, OS, and LDAP injection, occur when untrusteddata is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing unauthorized data.
注入攻击,例如SQL, OS 以及 LDAP注入,会在不可信的数据作为命令或者查询语句的一部分被发送给处理程序的时候发生。攻击者发送的恶意数据可以欺骗处理程序,以执行计划外的命令或者访问未被授权的数据。
TOP 2: A2 –Cross Site Scripting (XSS) 跨站点脚本攻击
XSS flaws occur whenever an application takes untrusteddata and sends it to a web browser without proper validation and escaping. XSS allows attackers to execute script in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites.
当应用程序包含或者携带不可信的数据,并且没有进行合适的验证就将它发送给浏览器的时候,跨站点脚本攻击(简称XSS)就会产生了。XSS 允许攻击者在受害者的浏览器上执行脚本,于是攻击者可以劫持用户会话,顺坏网站,或者将用户转向至恶意站点。
TOP 3: A3 –Broken Authentication and Session Management 越权及会话管理
Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, session tokens, or exploit implementation flaws to assume other users’ identities.
通常,应用程序的功能往往和权限管理、会话管理相关,但是却经常没有被正确的实现。以至于让攻击者可以窃取到密码,密钥,session tokens,或者冒充其他用户身份。
附OWASP TOP 10 for 2010:
A1 –Injection
A2 –Cross Site Scripting (XSS)
A3 –Broken Authentication and Session Management
A4 –Insecure Direct Object References
A5 –Cross Site Request Forgery (CSRF)
A6 –Security Misconfiguration(NEW)
A7 –Failure to Restrict URL Access
A8 –UnvalidatedRedirects and Forwards (NEW)
A9 –Insecure Cryptographic Storage
A10 -Insufficient Transport Layer Protection
Tags:Web Application Security
编辑录入:爽爽 [复制链接] [打 印]- ››Web服务器和应用服务器的区别
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
更多精彩
赞助商链接