问前10名Web应用程序安全检查

EN

10 .任何网页应用程式的保安检查如下-

#1 SQL注入

代码注入技术，用于攻击数据驱动的应用程序，其中恶意SQL语句插入入口字段执行(例如将数据库内容转储给攻击者)。

#2中断身份验证和会话管理

身份验证和会话管理包括处理用户身份验证和管理活动会话的所有方面。即使是可靠的身份验证机制也可能受到有缺陷的凭据管理功能的破坏，这些功能包括密码更改、“忘记我的密码”、“记住我的密码”、帐户更新和其他相关功能。

如果用户具有有效的会话id，则如果攻击者发现原始用户无法注销的会话。

#3跨站点脚本

跨站点脚本(XSS)是web应用程序中常见的一种计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。攻击者可能会使用跨站点脚本漏洞绕过访问控制，例如相同来源的策略。

#4不安全的直接对象引用

当开发人员公开对内部实现对象(如文件、目录或数据库密钥)的引用时，可能会发生直接对象引用，而没有任何验证机制，从而允许攻击者操纵这些引用来访问未经授权的数据。

#5安全配置错误

当安全设置被定义、实现和维护为默认值时，就会出现安全错误配置。

拥有最新的软件也同样重要。

安全错误配置很容易被利用，但是有许多积极的方法来防止它们，包括业界专家的以下建议：

a)。开发一个可重复的过程以减少易受伤害的表面

b)。禁用默认帐户并更改密码

c)。保持软件的更新。

d)。开发一个强大的应用程序体系结构，有效地隔离组件和加密数据，这对于敏感数据尤其重要。

e)。禁用任何不必要的文件或功能

f)。不要向用户显示堆栈跟踪器

g)。确保将开发框架和库中的安全设置设置为安全值。

(H)运行工具(即自动扫描器)并进行定期审计，以确定安全配置中的漏洞

#6敏感数据暴露

敏感数据泄漏是世界范围内尴尬和数据开发的主要原因.这篇博客文章将讨论(OWASP)十大敏感数据公开的第六位。

问题:敏感数据暴露漏洞如何影响您？

ANS :敏感数据暴露在OWASP十大Web应用程序漏洞列表中占据第七位。它处理与未经授权处理业务敏感信息相关的威胁。

#7缺少函数级访问控制

缺少功能级访问控制，当低级别访问用户无意中被允许访问仅限于更高级别访问的网站的一部分时发生。选择“隐藏”函数而不是在函数级别保护其应用程序的管理员可以创建这些漏洞。

#8跨站点请求伪造

跨站点请求伪造(CSRF )是一个web应用程序漏洞，使得攻击者有可能在登录到应用程序时不知情地强制用户执行操作。攻击者通常使用CSRF攻击来攻击云存储、社交媒体、银行和在线购物站点，因为这些类型的应用程序中提供了用户信息和操作。

#9使用具有已知漏洞的组件

没有一个软件包是完美的，即使分发这些组件的组织努力制作好的产品，他们也意识到错误的发生。在您的项目中使用外部库时，重要的是要记住，您带来了良好的功能和重要的特性，但您也为潜在的bug和安全漏洞打开了大门。

最近的一个例子是最近通过引入的带有“表达式语言注入”漏洞的远程代码执行。然而，估计有2 980万次下载包含已知的漏洞。

#10无效重定向和转发

网络上的大多数Web应用程序经常将用户重定向并转发到其他页面或其他外部网站，但是，在不验证这些页面的可信度的情况下，黑客可以将受害者重定向到钓鱼或恶意软件网站，或者使用转发访问未经授权的页面。

然而，通常，开发人员更多地关注其更改的功能和可视化输出，并且在安全性问题上花费的时间要少得多。但是，当他们确实关注安全性时，通常唯一想到的是典型的事情，比如防范SQL注入或访问控制错误，但是对安全性的关注应该远远超过这一点。在测试您的web应用程序时，此列表可以为您提供一个开始查找正常区域之外的漏洞的好地方。虽然这远远不够全面，但它至少会给你十个领域，你应该把更多的注意力放在安全上，如果你还没有。

通过这个链接检查列表：http://www.softwaretestingclass.com/top-10-web-security-checks-how-to-test-for-a-secure-website/