owasp-top10（2024）

一、注入（sql注入）

2024-7-14-sql注入总结大全

复习

二、敏感数据泄露

概念：

很多 Web 应用程序和 API 都无法正确保护敏感数据，例如：财务数据、医疗数据和 PII 数据（个人身份信息）。攻击者可以很容易的获取到，并造成破坏，因此，我们需要对敏感数据加密，这些数据包括传输过程中的数据、存储的数据。通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。

存在的原因

①、数字系统越来越多，用户个人信息收集后存储分散，业务使用中管理不规范

②、随着企事业单位规模的扩大，员工数量逐步增加，信息安全意识参差不齐，可能存在违规使用、随意下载用户个人信息的行为

防范

①、加强员工意识，禁止上传代码到 github 等网站。

②、谨慎使用第三方云服务，不要把工作相关的存放到云端。

③、禁止使用工作邮箱注册非工作相关网站

2024-7-16-web信息收集复习

2024-7-17-ssrf

2024-7-18-xxe

三、访问控制崩溃****

概念

    未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。

从表现形式来看，访问控制崩溃也就是我们常说的越权漏洞

越权分为两种

    ①、水平越权：A，B 两个用户权限是相同的，但是 A 可以访问 B 的信息。

    ②、垂直越权（向上垂直）：A 是普通用户，B 管理员用户，A 可以执行 B 的权限。

简单的方法描述

通过修改 URL、内部应用程序状态或 HTML 页面绕过访问控制检查，或简单地使用自定义的 API 攻击工具。

允许将主键更改为其他用户的记录，例如查看或编辑他人的账户。

特权提升。在不登录的情况下假扮用户，或以用户身份登录时充当管理员。

以未通过身份验证的用户身份强制浏览的通过身份验证时才能看到得页面、或作为标准用户访问具有相关权限的页面、或 API 没有对 POST、PUT 和 DELETE 强制执行访问控制。

【注： POST、PUT、DELETE 等操作是相当危险的，用户在使用的时候一定要进行身份验证】

防范

    访问控制只有在受信服务器端代码或没有服务器的 API 中有效，这样攻击者才无法修改访问控制检查或元数据。

①、除公有资源外、默认情况下拒绝访问（最小权限原则）。

②、严格判断权限，用户只能操作属于自己的内容。

③、记录失败的访问控制，并在适当时向管理员告警（如：重复故障）。

④、对 API 和控制器的访问进行速率限制，以最大限度地降低自动化攻击工具的危害。

⑤、当用户注销后，服务器上的 JWT （ JSON Web Token）令牌应该失效。

2024-7-15-xss复习总结

2024-7-16-jwt总结

Sql二次注入

四、安全配置不当****

    安全配置错误是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此，我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置，而且必须及时修补和升级它们。

可能出现的风险点

应用程序启用或者安装了不必要的安全功能

默认账户名和密码没有修改

应用软件已过期或出了新版本未更新

应用程序服务器，应用程序框架等未进行安全配置

错误处理机制被披露大量敏感信息

对于更新的系统，禁用或不安全地配置安全功能

五、使用含有已知漏洞组件****

概念

    组件（例如：库、框架和其他软件模式）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。

常见的cve，cvnd漏洞

六、服务器请求伪造****

    SSRF（服务器端请求伪造）是指攻击者能够从易受攻击的 Web 应用程序发送精心设计的请求对其他网站进行攻击。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统

SSRF 的成因

    SSRF 形成的原因大都是由于服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。SSRF 是利用存在缺陷的 web 应用作为代理去攻击远程和本地的服务器。

    也就是说，对于为服务器提供服务的其他应用没有对访问进行限制，如果我构造好我的访问包，那我就有可能利用目标服务对他的其他服务器应用进行调用。

SSRF 常见危害

    1、可以对服务器所在内网、本地进行端口扫描，获取一些服务的信息等

    2、目标网站本地敏感数据的读取

    3、内外网主机应用程序漏洞的利用

    4、内外网 web 站点漏洞的利用

防范

过滤返回信息，验证远程服务器对请求的响应，是比较容易的方法。比如 web 应用获取某种类型的文件，那么可以在把返回结果展示给用户之前先验证返回信息是否符合标准。

统一错误信息，避免用户根据错误信息来判断远程服务器端口状态。

限制请求的端口为 HTTP 常用端口，比如 80、443、8080、8090

黑名单内网 IP ，避免应用被用来获取内网数据，攻击内网。

禁用不需要的协议。仅仅允许 HTTP 和 HTTPS 请求。可以防止类似于 file:// 、ftp:// 等引起的问题

Ssrf复习

七、不安全的设计****

漏洞产生原因

    在开发软件时，在关键身份验证、访问控制、业务逻辑和关键流部位没有进行安全的设计。

八、软件和数据完整性失效

九、不足的日志记录和监控

十、未验证的重定向和转发****