什么是 OWASP 和 OWASP Top 10?

已发表: 2020-08-07

开放式 Web 应用程序安全项目 (OWASP) 是一个致力于提高软件安全性的非营利基金会。 OWASP Top 10 是面向开发人员和 Web 应用程序安全性的标准意识文档。 它代表了对 Web 应用程序最关键的安全风险的广泛共识。

OWASP 十大 Web 应用程序安全风险

1. 注射

注入缺陷可能允许攻击者将恶意代码注入您的 WordPress 数据库。 攻击者的代码可以诱使 WordPress 或您的服务器在未经适当授权的情况下运行命令。 恶意代码可以执行任何操作,从导出网站用户列表到删除数据库中的表。

预防

将数据与命令和查询分开有助于防止注入漏洞。

2. 破解认证

Broken Authentication漏洞可允许攻击者破坏用户或用户的密码、密钥或会话令牌以接管用户的帐户。

预防

您可以使用双因素身份验证来帮助保护您的网站免受损坏的身份验证漏洞。

您可以使用双因素身份验证来帮助保护您的网站免受损坏的身份验证漏洞。

3. 敏感数据暴露

未正确防止敏感数据泄露的应用程序和 API 可能允许攻击者访问信用卡号、健康记录或其他私人个人信息。

数据可以在传输中静止时暴露

  • 传输过程中数据的一个例子是,当信用卡号码会从客户的浏览器发送到您的网站的支付网关。
  • 静止数据意味着它已存储且未被使用。 静态数据的一个示例是存储在异地位置的 BackupBuddy 备份。 备份将保持静止,直到需要为止。

预防

您可以安装 SSL 证书以帮助保护和加密传输中的数据,并为静态数据添加加密以帮助防止暴露。

4. XML 外部实体 (XXE)

许多旧的或配置不当的 XML 处理器评估 XML 文档中的外部实体(如硬盘驱动器)引用。 攻击者可以欺骗 XML 解析器将敏感信息传递给他们控制下的外部实体

预防

防止XXE的最佳方法是使用不太复杂的数据格式,例如 JSON,并避免对敏感数据进行序列化。

5. 破坏访问控制

Broken Access Control漏洞允许攻击者绕过授权并执行通常仅限于具有更高权限的用户(例如管理员)执行的任务。

在 WordPress 的上下文中,破坏访问控制漏洞可能允许具有订阅者角色的用户执行管理员级别的任务,例如添加/删除插件和用户。

预防

iThemes Security Pro 可以通过限制管理员访问受信任设备列表来帮助保护您的网站免受破坏的访问控制。

Broken Access Control漏洞允许攻击者绕过授权并执行通常仅限于具有更高权限的用户(例如管理员)执行的任务。

6. 安全配置错误

安全配置错误是列表中最常见的问题。 这种类型的漏洞通常是由不安全的默认配置、过度描述性的错误消息和错误配置的 HTTP 标头造成的。

预防

可以通过删除代码中任何未使用的功能、使所有库保持最新以及使错误消息更通用来缓解安全错误配置问题。

7. 跨站脚本(XSS)

当 Web 应用程序允许用户在 URL 路径中添加自定义代码时,会出现跨站点脚本漏洞。 攻击者可以利用该漏洞在受害者的 Web 浏览器中运行恶意代码、创建到恶意网站的重定向或劫持用户会话。

预防

iThemes Security Pro Trusted Devices 功能可以通过检查用户的设备在会话期间没有更改来帮助防止会话劫持。

iThemes Security Pro Trusted Devices 功能可以通过检查用户的设备在会话期间没有更改来帮助防止会话劫持。

8. 不安全的反序列化

序列化将应用程序代码中的对象转换为可在以后恢复的格式,例如将您的 iThemes Security Pro 设置导出到 JSON 文件。

反序列化是该过程的逆过程,将数据以某种格式结构化并将其重建回对象。 例如,获取您存储在 JSON 文件中的 iThemes Security Pro 设置并将它们导入到新网站上。

不安全的反序列化缺陷可以并且经常导致远程代码执行漏洞利用,从而导致注入和权限提升攻击。

预防

缓解不安全反序列化漏洞的唯一方法是不接受来自不受信任来源的序列化。

9. 使用已知漏洞的组件

开发人员在他们的应用程序中使用库和框架等组件是无处不在的。 这包括 WordPress 插件和主题开发人员。 如果这些第三方库和框架没有正确更新,它们可能会引入安全漏洞。

预防

开发人员可以通过删除未使用的第三方代码并仅使用来自可信来源的组件来最大限度地降低使用具有已知漏洞组件的风险。

10. 日志记录和监控不足

日志记录和监控不足会导致检测安全漏洞的延迟。 大多数违规研究表明,检测违规的时间超过 200 天! 这段时间允许攻击者破坏其他系统、修改、窃取或破坏更多数据。

预防

iThemes Security Pro WordPress 安全日志监控大量恶意活动,并使用收集到的信息来阻止攻击并在出现问题时提醒您。

大多数违规研究表明检测违规的时间超过 200 天!

使用 iThemes Security Pro 站点扫描添加更多保护

在我们每两个月一次的漏洞综述帖子中,我们分享了所有最新披露的 WordPress 核心、插件和主题漏洞。 我们在综述中涵盖的许多插件和主题都有 OWASP 前 10 名中的漏洞利用。

被黑网站的第一大罪魁祸首是有补丁可用但未应用的漏洞。 将 iThemes Security Pro 站点扫描添加到您的 WordPress 安全工具带,以保护您的网站免受已知安全问题的影响。 iThemes Security Pro 站点扫描器会检查您的站点是否存在已知漏洞,并在可用时自动应用补丁。

无论您的主题使用具有已知漏洞的组件,还是使用具有已知跨站点脚本漏洞的插件,iThemes Security Pro 站点扫描都能为您提供保障。

无论您的主题使用具有已知漏洞的组件,还是使用具有已知跨站点脚本漏洞的插件,iThemes Security Pro 站点扫描都能为您提供保障。

总结:OWASP 前 10 名

OWASP Top 10 列表是传播如何保护您的应用程序免受最常见安全漏洞的意识的重要资源。 不幸的是,这些漏洞之所以进入前 10 名,是因为它们很普遍。 使用像 iThemes Security Pro 这样的 WordPress 安全插件可以帮助保护您的网站免受许多这些常见安全问题的影响。