OWASP组织

OWASP是一个501c3非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。

目前OWASP全球拥有130个分会近万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。

OWASP在业界影响力：

OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。
美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则
国际信用卡数据安全技术PCI标准更将其列为必要组件
为美国国防信息系统局（DISA)应用安全和开发清单参考
为欧洲网络与信息安全局（ENISA), 云计算风险评估参考
为美国联邦首席信息官（CIO)理事会，联邦部门和机构使用社会媒体的安全指南
为美国国家安全局/中央安全局，可管理的网络计划提供参考
为英国GovCERTUK提供SQL注入参考
为欧洲网络与信息安全局（ENISA), 云计算风险评估提供参考
OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准

OWASP中国拥有近三千名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展。

每个人都可以免费加入OWASP中国，利用免费和开放许可证获得OWASP的相关资源。

OWASP:开放式Web应用程序安全项目(Open Web Application Security Project)，OWASP是一家国际性组织机构，并且是一个开放的、非盈利组织，它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识，不过OWASP每四年发布一次，现在最新的OWASP是2017年的，在2021年会更新最新的OWASP top 10。

一、作用

1.保护社区代码免受网络安全漏洞的影响

2.增强软件加密功能

3.减少代码中的安全错误、bugs和缺陷的数量。

二、OWASPTOP10原理与复现案例

1.失效的访问控制

原理

根据用户被授予的访问权限，每一条信息只能供特定的用户使用。访问控制失效可能会导致用户可以访问其无权访问的信息。

复现案例

（1）网站的的登录，如果一个普通用户即使不是管理员也可以访问管理员页面，则他们的角色没有得到正确验证。

（2）某网站上面的资料文件，如pdf、word、xls文件只有付费用户或者会员才可以下载，但当这些文件的 URL 地址泄露后，导致任何人可下载，没有对用户的身份进行验证，如果通过猜解 URL 命名规则，则可以批量下载。

（3）水平越权－ID的失效访问，这种通过修改一下参数就可以产生水平越权，例如查看用户信息页面 URL 后加上自己的 id 便可查看，当修改为他人的 ID 号时会返回他人的信息，便产生了水平越权。

2.加密机制失效

原理

主要是与加密失败有关。黑客通常不会直接攻击系统，而是试图在数据传输过程中从用户的浏览器中窃取数据，例如，密码，信用卡号，健康记录、个人信息。

复现案例

（1）应用程序在数据库使用自动数据库加密。但是，在进行数据检索的时候，已经加密的数据自动解密，允许SQL注入缺陷以明文形式检索信用卡号，密码等。

（2）网站没有对所有页面或支持弱加密。攻击者监视网络流量（例如不安全的无线网络WiFi），将连接从HTTPS降级到HTTP，拦截请求，并窃取用户的会话cookie。然后，攻击者重播此cookie并劫持用户的（已验证的）会话，访问或修改用户的私有数据。

注入

原理

由于用户的输入不可控，用户通过构造恶意的请求来查询或者暴露系统中的数据，常见的注入是SQL、NoSQL、OS命令、Object关系映射（ORM）、LDAP和表达式语言（EL）或对象图形导航库（OGNL）注入。

复现案例

攻击者构造恶意的url请求，使数据库中的用户名与密码暴露

不安全设计

原理

不安全设计关注与设计缺陷相关的风险。不安全设计是指没有威胁建模、安全设计模式和原则以及参考体系结构的设计。不安全的设计更多的是利用网站的本身功能，只是说网站的本身功能存在问题。

复现案例

游乐园在要求押金前允许团体预订折扣并且最多有 15 名观众。攻击者可以威胁模型此流程并测试他们在一次请求中是否可以预订 600 个座位和的所有电影院，导致游乐园收入损失。

5.安全设定缺陷

原理

安全设定缺陷也是安全配置错误，这些安全问题可能包括不必要的开放端口、默认帐户和密码、错误处理（泄露了太多有关应用程序的信息）、示例文件和应用程序（默认状态下从生产服务器中删除）等形式。

复现案例

（1）网站系统服务器在配置端口的时候打开了3389端口，攻击者可能根据开放的端口进行暴力破解进入系统控制服务器。

（2）网站在搭建完成的时候没有对网站的源代码进行隐藏，导致攻击者可以通过特定的攻击手段获得网站的源代码，根据网站的源代码进行代码审计发现网站的漏洞。

6.易受攻击和已淘汰的组件

原理

该情况之前被称之为“使用具有已知漏洞的组件”，易受攻击和过期的组件是唯一不在通用漏洞披露（CVE）和常见漏洞枚举（CWE）中的类别。

复现案例

网站开发的过程中使用的中间件，有一些较老的中间件会存在各种的漏洞，而攻击者根据特定的攻击工具来利用这些组件已知的漏洞，达到网站入侵的目的。

7.失效的访问控制

原理

身份验证实施不当，使攻击者获得访问权限并冒充另一用户的身份。

复现案例

一些网站的后台允许使用预设的弱密码admin/123456进行登录

软件和数据完整性故障

原理

软件和数据完整性故障集中于在未验证完整性的情况下对软件更新，攻击者通过控制上传更新档案来达到攻击目的，更新档案将传播到所有已安装之应用程式并在这些应用程式上执行。

复现案例

许多家用路由器、机上盒、装置韧体等未以通过签署之韧体验证更新档案。未签署韧体是越来越多攻击者的目标且情况只会变得更糟。这是一个主要问题，因为只能以新版本修复此机制并期待旧版本自然淘汰，没有其他方法。

9.安全日志记录和监控故障

原理

在 2021 年 OWASP Top 10，此类型有助于对进行中资安事件之侦测，升级及应变。缺乏记录及监控时无法侦测资安事件发生。不足地记录，侦测，监控及主动应变随时会发生。在攻击者对系统进行攻击的时候不能记录攻击者行为，没有触发安全告警。

复现案例

某家儿童健康计划供应商的网站运营商因缺乏监控和记录无法侦测资安事件。外部通知该健康计划供应商，攻击者已存取及修改超过 350 万名儿童的敏感健康记录。事后审查发现网站开发者没有处理重大弱点。由于系统没有记录或监控，资料泄漏可能从 2013 年开始泄露，时间超过七年。

服务端请求伪造

原理

服务端所提供的端口所提供的接口中包含了用户可以请求的参数，并未对其进行过滤，服务器就会执行参数。也就是攻击者伪造服务端的请求发起攻击，攻击者借由服务端为跳板来攻击目标系统。

复现案例

（1）渗透内部服务 - 攻击者可以滥用内部服务去执行更进一步的攻击，例如 RCE 或 Dos。（2）机敏资料泄漏。攻击者可以存取本地端档案(例如 ) 或内部服务已取得机敏资料。

附：火狐代理插件的安装