OWASP TOP10 漏洞 网络安全.docx

OWASPTOP10漏洞

OWASPTOP10漏洞是由开放Web应用程序安全项目（OpenWebApplicationSecurityProject）发布的十大最严重、最普遍的Web应用程序安全漏洞，以下是2021年版的相关介绍：

失效的访问控制

访问控制失效会导致未经授权的信息泄漏、修改等。常见弱点包括绕过存取控制检查，如通过修改URL、内部应用程式状态等；允许主键被更改，可查看或编辑他人账户；特权提升；CORS错误配置等。预防措施有在服务器端执行存取控制机制，默认拒绝存取，强化记录所有权等。

加密机制失效

要涉及静态数据及数据传输的防护。如是否以明文形式传输数据，是否使用老旧或脆弱的加密算法、默认加密密钥，加密密钥是否被写入源代码等。预防需对数据分类，执行对应控制，确保静态敏感数据加密，使用安全协议等。

注入式攻击

不可信的数据作为命令或查询的一部分发送到解释器时可能发生，如SQL、NoSQL、OS命令注入等。可通过预编译语句、参数化查询等防御，对输入数据进行严格验证和过滤。

失效的身份认证

身份验证机制设计或实现有误，攻击者可能冒充合法用户获取未授权访问权限。如通过错误使用身份认证和会话管理功能，破译密码等。防御方法包括使用内置会话管理功能，要求用户使用强密码，避免以纯文本传输用户名和密码等。

安全配置错误

包括未正确配置的设置，如默认账户、未更新的组件、不必要的服务和端口开放等。需定期审计和更新系统配置，关闭不必要的服务和端口，及时更新组件。

用户输入验证失败

使用过时或已知存在漏洞的组件会导致安全问题。需持续进行软件维护和更新，及时修复或替换存在漏洞的组件。

识别和会话管理不足

涉及对用户会话和身份管理的不当处理，可能导致会话劫持和账户接管。应使用现代的、安全的身份验证框架，对会话进行有效管理和保护，如设置合理的会话过期时间等。

软件和数据完整性失效

包括保护机制的缺失，如反篡改、反逆向工程和供应链攻击。可通过使用数字签名和安全的构建环境等提高软件的完整性。

日志记录和监控不足

缺乏有效记录和监控，攻击者能在系统中行动不被发现。需实施全面的日志记录策略和实时监控，及时发现异常行为。

服务器端请求伪造

服务器被诱骗发起未经验证的请求到内部或外部其他服务器。应限制服务器可发起的请求类型和目标，对请求进行严格验证。

2024HW必修高危漏洞集合_v4.0

高危风险漏洞一直是企业网络安全防护的薄弱点，也成为HW攻防演练期间红队的重要突破口；每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器，很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。2024年HW（国家级攻防演练）已经开始，斗象科技发布《2024攻防演练必修高危漏洞集合（4.0版）》，意在帮助企业在HW攻防演练的前期进行自我风险排查，降低因高危漏洞而“城池失守”的风险。

本次报告整合了在攻防演练被红队利用最频繁且对企业危害较高的漏洞，包含了详细的漏洞基础信息、检测规则和修复方案，企业可根据自身资产信息进行针对性的排查、配置封堵策略和漏洞修复相关工作。

●远程代码执行漏洞漏洞数量：11个涉及厂商：apache、ManageEngine、adobe、瑞友天翼、PowerJob、dedecms、大华股份、sugarcrm、oracle

●命令注入漏洞数量：5个涉及厂商：禅道、tp-link、vmware、apache、nginx、

●任意文件上传漏洞数量：3个涉及厂商：海康威视、weaver、dahuasecurity

●SQL注入漏洞漏洞数量：2个涉及厂商：weaver、北京畅捷通信息技术有限公司