摘要: OWASP十大Web应用安全漏洞防御系统——明御Web防火墙应对措施 OWASP(开放应用安全计划组织) 发布的十大Web应用安全漏洞代表了已达成广泛共识的最具威胁的Web应用安全漏洞。(杭州安恒信息技术有限公司)明御W...
OWASP十大Web应用安全漏洞防御系统——明御Web防火墙应对措施
OWASP(开放应用安全计划组织) 发布的十大Web应用安全漏洞代表了已达成广泛共识的最具威胁的Web应用安全漏洞。(杭州安恒信息技术有限公司)明御WEB应用防火墙针对OWASP十大安全漏洞提供了全面且有效的安全防御措施。
序号 | OWASP 2007年十大安全漏洞概述 | 明御Web应用防火墙防御措施 |
1 | 跨站脚本漏洞 目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意WEB代码,劫持用户会话、篡改网页信息甚至引入蠕虫病毒等 | 通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本( XSS )攻击。 |
2 | 注入漏洞 注入漏洞,特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险 | 通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。 |
3 | 恶意文件执行 目标网站代码存在远程文件包含漏洞,允许攻击者直接上传恶意代码,控制目标网站;受影响的应用包括PHP以及XML | 通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截恶意文件执行攻击。 |
4 | 直接对象引用隐患 直接对象引用是指开发商将内部执行对象,如文件、目录、数据库记录或关键字以URL链接地址或参数形式暴露给用户,导致敏感信息泄露 | 通过验证用户输入使用的是消极或积极的安全策略,有效检测并阻断直接对象引用攻击,防止恶意用户非法访问限定文件或目录等敏感信息。 |
5 | 跨站点请求伪造漏洞 跨站点请求伪造攻击通过强制已登录受害者的浏览器向目标网站发送预认证请求,然后强制受害者浏览器执行有利于攻击者的行为,跨站点请求伪造攻击是一种强大的Web应用攻击方法 | 通过对来自Web系统响应的cookies和参数注入密码校验功能来阻断会话劫持和跨站点请求伪造攻击。 Web应用系统中表单的发布由插入的包含加密令牌的表单验证参数的会话所约束。该加密令牌能证明该配置行为(发布一个含有表单的页面)是Web应用防御系统的一部分。 |
6 | 信息泄漏和不适当的错误处理 通过各种错误的应用操作,应用程序可能由于其不适当的错误处理在无意中泄露其配置信息、内部运作信息以及侵犯隐私的敏感信息。 攻击者利用该漏洞可能盗取敏感的数据,甚至发动更为危险的攻击行为 | 明御Web防御系统获取Web服务器发送的错误信息,并重置为新配置的不包含任何敏感信息的错误信息。 |
7 | 认证和会话管理隐患 帐户凭据和会话令牌往往没有得到适当的保护。攻击者通过该隐患获取用户的密码,密钥,认证令牌或假冒其他使用者的身份 | 通过对会话的Cookies进行客户端IP地址校验来检测并阻断认证和会话管理攻击。 |
8 | 加密存储隐患 Web应用程序很少正确使用加密功能来保护重要数据和证书。攻击者利用该隐患可能进行身份盗窃和其他犯罪,如信用卡欺诈。 | 明御Web防御系统并不直接存储数据。 尽管机密信息在日志中进行记录,数据输入记录伪造功能提供可配置的数据伪造策略,有效阻断攻击者进行数据窃取。 |
9 | 通信隐患 当有必要为保护某些敏感通信而进行数据传送加密,Web应用数据传送频繁失败。 | 明御Web防御系统可以启用HTTPS访问Web资源。 此外HTTP (明文)请求可以重定向使用HTTPS 。 |
10 | 无限制URL访问隐患 通常,Web应用敏感信息保护模块通过不显示敏感信息的URL链接来防止未经授权的用户访问Web敏感信息。攻击者利用该隐患可直接访问敏感信息URL,获取Web敏感信息。 | 访问敏感信息URL需要有效的用户会话,未经验证的用户(用户没有一个有效的会话)的会话请求,Web防御系统将对其进行阻断 。 |
如果您想更深层次了解本文提到的产品,欢迎和我联系。
网路游侠(www.youxia.org) QQ:55984512,邮件:zbc98@163.com
