什麼是 OWASP 和 OWASP Top 10?

已發表: 2020-08-07

開放式 Web 應用程序安全項目 (OWASP) 是一個致力於提高軟件安全性的非營利基金會。 OWASP Top 10 是面向開發人員和 Web 應用程序安全性的標準意識文檔。 它代表了對 Web 應用程序最關鍵的安全風險的廣泛共識。

OWASP 十大 Web 應用程序安全風險

1. 注射

注入缺陷可能允許攻擊者將惡意代碼注入您的 WordPress 數據庫。 攻擊者的代碼可以誘使 WordPress 或您的服務器在未經適當授權的情況下運行命令。 惡意代碼可以執行任何操作,從導出網站用戶列表到刪除數據庫中的表。

預防

將數據與命令和查詢分開有助於防止注入漏洞。

2. 破解認證

Broken Authentication漏洞可允許攻擊者破壞用戶或用戶的密碼、密鑰或會話令牌以接管用戶的帳戶。

預防

您可以使用雙因素身份驗證來幫助保護您的網站免受損壞的身份驗證漏洞。

您可以使用雙因素身份驗證來幫助保護您的網站免受損壞的身份驗證漏洞。

3. 敏感數據暴露

未正確防止敏感數據洩露的應用程序和 API 可能允許攻擊者訪問信用卡號、健康記錄或其他私人個人信息。

數據可以在傳輸中靜止時暴露

  • 傳輸過程中數據的一個例子是,當信用卡號碼會從客戶的瀏覽器發送到您的網站的支付網關。
  • 靜止數據意味著它已存儲且未被使用。 靜態數據的一個示例是存儲在異地位置的 BackupBuddy 備份。 備份將保持靜止,直到需要為止。

預防

您可以安裝 SSL 證書以幫助保護和加密傳輸中的數據,並為靜態數據添加加密以幫助防止暴露。

4. XML 外部實體 (XXE)

許多舊的或配置不當的 XML 處理器評估 XML 文檔中的外部實體(如硬盤驅動器)引用。 攻擊者可以欺騙 XML 解析器將敏感信息傳遞給他們控制下的外部實體

預防

防止XXE的最佳方法是使用不太複雜的數據格式,例如 JSON,並避免對敏感數據進行序列化。

5. 破壞訪問控制

Broken Access Control漏洞允許攻擊者繞過授權並執行通常僅限於具有更高權限的用戶(例如管理員)執行的任務。

在 WordPress 的上下文中,破壞訪問控制漏洞可能允許具有訂閱者角色的用戶執行管理員級別的任務,例如添加/刪除插件和用戶。

預防

iThemes Security Pro 可以通過限制管理員訪問受信任設備列表來幫助保護您的網站免受破壞的訪問控制。

Broken Access Control漏洞允許攻擊者繞過授權並執行通常僅限於具有更高權限的用戶(例如管理員)執行的任務。

6. 安全配置錯誤

安全配置錯誤是列表中最常見的問題。 這種類型的漏洞通常是由不安全的默認配置、過度描述性的錯誤消息和錯誤配置的 HTTP 標頭造成的。

預防

可以通過刪除代碼中任何未使用的功能、使所有庫保持最新以及使錯誤消息更通用來緩解安全錯誤配置問題。

7. 跨站腳本(XSS)

當 Web 應用程序允許用戶在 URL 路徑中添加自定義代碼時,會出現跨站點腳本漏洞。 攻擊者可以利用該漏洞在受害者的 Web 瀏覽器中運行惡意代碼、創建到惡意網站的重定向或劫持用戶會話。

預防

iThemes Security Pro Trusted Devices 功能可以通過檢查用戶的設備在會話期間沒有更改來幫助防止會話劫持。

iThemes Security Pro Trusted Devices 功能可以通過檢查用戶的設備在會話期間沒有更改來幫助防止會話劫持。

8. 不安全的反序列化

序列化將應用程序代碼中的對象轉換為可在以後恢復的格式,例如將您的 iThemes Security Pro 設置導出到 JSON 文件。

反序列化是該過程的逆過程,將數據以某種格式結構化並將其重建回對象。 例如,獲取您存儲在 JSON 文件中的 iThemes Security Pro 設置並將它們導入到新網站上。

不安全的反序列化缺陷可以並且經常導致遠程代碼執行漏洞利用,從而導致注入和權限提升攻擊。

預防

緩解不安全反序列化漏洞的唯一方法是不接受來自不受信任來源的序列化。

9. 使用已知漏洞的組件

開發人員在他們的應用程序中使用庫和框架等組件是無處不在的。 這包括 WordPress 插件和主題開發人員。 如果這些第三方庫和框架沒有正確更新,它們可能會引入安全漏洞。

預防

開發人員可以通過刪除未使用的第三方代碼並僅使用來自可信來源的組件來最大限度地降低使用具有已知漏洞組件的風險。

10. 日誌記錄和監控不足

日誌記錄和監控不足會導致檢測安全漏洞的延遲。 大多數違規研究表明,檢測違規的時間超過 200 天! 這段時間允許攻擊者破壞其他系統、修改、竊取或破壞更多數據。

預防

iThemes Security Pro WordPress 安全日誌​​監控大量惡意活動,並使用收集到的信息來阻止攻擊並在出現問題時提醒您。

大多數違規研究表明檢測違規的時間超過 200 天!

使用 iThemes Security Pro 站點掃描添加更多保護

在我們每兩個月一次的漏洞綜述帖子中,我們分享了所有最新披露的 WordPress 核心、插件和主題漏洞。 我們在綜述中涵蓋的許多插件和主題都有 OWASP 前 10 名中的漏洞利用。

網站被黑的第一大罪魁禍首是有補丁可用但未應用的漏洞。 將 iThemes Security Pro 站點掃描添加到您的 WordPress 安全工具帶,以保護您的網站免受已知安全問題的影響。 iThemes Security Pro 站點掃描器會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。

無論您的主題使用具有已知漏洞的組件,還是使用具有已知跨站點腳本漏洞的插件,iThemes Security Pro 站點掃描都能為您提供保障。

無論您的主題使用具有已知漏洞的組件,還是使用具有已知跨站點腳本漏洞的插件,iThemes Security Pro 站點掃描都能為您提供保障。

總結:OWASP 前 10 名

OWASP Top 10 列表是傳播如何保護您的應用程序免受最常見安全漏洞的意識的重要資源。 不幸的是,這些漏洞之所以進入前 10 名,是因為它們很普遍。 使用像 iThemes Security Pro 這樣的 WordPress 安全插件可以幫助保護您的網站免受許多這些常見安全問題的影響。