Web應(yīng)用滲透簡(jiǎn)介

隨著網(wǎng)絡(luò)的發(fā)展，越來越多的企業(yè)將應(yīng)用架設(shè)在web平臺(tái)上，為客戶提供更為方便、快捷的服務(wù)支持。根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生Web應(yīng)用而非網(wǎng)絡(luò)層面上。因此保護(hù)web應(yīng)用安全非常重要。Web滲透測(cè)試主要是對(duì)Web應(yīng)用程序和相應(yīng)的軟硬件設(shè)備配置的安全性進(jìn)行測(cè)試。Web應(yīng)用滲透是通過模擬黑客的思維和攻擊手段，對(duì)Web應(yīng)用服務(wù)的弱點(diǎn)、技術(shù)缺陷和漏洞進(jìn)行探查評(píng)估。本章旨在讓讀者對(duì)Web應(yīng)用滲透有基本了解，包括Web應(yīng)用滲透的定義、常見Web應(yīng)用漏洞。前言目錄/CONTENTSWeb應(yīng)用滲透基礎(chǔ)HTTP基礎(chǔ)原理OWASPTOP10Web安全漏洞一般由以下幾種原因造成：輸入輸出驗(yàn)證：由于用戶的輸入不合規(guī)或者具有攻擊性的語句造成代碼出錯(cuò)，或者不能執(zhí)行預(yù)期的目標(biāo)，從而導(dǎo)致web應(yīng)用方面的漏洞。系統(tǒng)設(shè)計(jì)缺陷：編碼邏輯上的處理不當(dāng)造成的缺陷引發(fā)的漏洞。環(huán)境缺陷：應(yīng)用程序在引用第三方的框架或者庫之類的代碼，這些第三方的程序隨著時(shí)間的積累不去更新維護(hù)的話會(huì)產(chǎn)生一些漏洞。Web安全漏洞產(chǎn)生原因一般的流程如下：Web應(yīng)用滲透測(cè)試流程明確此次Web應(yīng)用滲透測(cè)試的目標(biāo)，主要有以下幾個(gè)方面：確定范圍：測(cè)試目標(biāo)的范圍、IP、域名、內(nèi)外網(wǎng)、測(cè)試賬戶。確定規(guī)則：能滲透到什么程度，所需要的時(shí)間、能否修改上傳、能否提權(quán)等。確定需求：Web應(yīng)用的漏洞、業(yè)務(wù)邏輯漏洞、人員權(quán)限管理漏洞等。明確目標(biāo)通過信息收集技術(shù)，獲取應(yīng)用系統(tǒng)的相關(guān)信息，主要有以下幾個(gè)方面：方式：主動(dòng)掃描，開放搜索等。開放搜索：利用搜索引擎獲得：后臺(tái)、未授權(quán)頁面、敏感URL等。基礎(chǔ)信息：IP、網(wǎng)段、域名、端口。應(yīng)用信息：各端口的應(yīng)用。例如Web應(yīng)用、郵件應(yīng)用等。系統(tǒng)信息：操作系統(tǒng)版本。版本信息：所有這些探測(cè)到的應(yīng)用的版本。服務(wù)信息：中間件的各類信息，插件信息。人員信息：域名注冊(cè)人員信息，Web應(yīng)用中發(fā)帖人的ID，管理員姓名等。防護(hù)信息：試著看能否探測(cè)到防護(hù)設(shè)備。信息收集利用上一步中列出的各種系統(tǒng)，應(yīng)用等使用相應(yīng)的漏洞，主要有以下幾種方式：漏掃、AWVS、AppScan等。結(jié)合漏洞去exploit-db等位置找利用。在網(wǎng)上尋找驗(yàn)證POC。漏洞探測(cè)將上一步中發(fā)現(xiàn)的有可能成功利用的全部漏洞都驗(yàn)證一遍。結(jié)合實(shí)際情況，搭建模擬環(huán)境進(jìn)行試驗(yàn)。成功后再應(yīng)用于目標(biāo)中，主要有以下幾種方式：自動(dòng)化驗(yàn)證：結(jié)合自動(dòng)化掃描工具提供的結(jié)果。手工驗(yàn)證，根據(jù)公開資源進(jìn)行驗(yàn)證。試驗(yàn)驗(yàn)證：自己搭建模擬環(huán)境進(jìn)行驗(yàn)證。登錄猜解：有時(shí)可以嘗試猜解一下登錄口的賬號(hào)密碼等信息。業(yè)務(wù)漏洞驗(yàn)證：如發(fā)現(xiàn)業(yè)務(wù)漏洞，要進(jìn)行驗(yàn)證。漏洞驗(yàn)證為下一步實(shí)施滲透做準(zhǔn)備，主要有以下幾種方式：精準(zhǔn)打擊：準(zhǔn)備好上一步探測(cè)到的漏洞的EXP，用來精準(zhǔn)打擊。繞過防御機(jī)制：是否有防火墻等設(shè)備，如何繞過。定制攻擊路徑：最佳工具路徑，根據(jù)薄弱入口、高內(nèi)網(wǎng)權(quán)限位置、最終目標(biāo)。繞過檢測(cè)機(jī)制：是否有檢測(cè)機(jī)制、流量監(jiān)控、殺毒軟件、惡意代碼檢測(cè)等（免殺）。攻擊代碼：經(jīng)過試驗(yàn)得來的代碼，包括不限于XSS代碼、SQL注入語句等。信息分析通過對(duì)獲取的信息進(jìn)行分析，幫助我們獲取滲透測(cè)試所需關(guān)鍵信息，主要有以下幾種方式：實(shí)施攻擊：根據(jù)前幾步的結(jié)果，進(jìn)行攻擊。獲取內(nèi)部信息：基礎(chǔ)設(shè)施（網(wǎng)絡(luò)連接、VPN、路由，拓?fù)涞龋＿M(jìn)一步滲透：內(nèi)網(wǎng)入侵，敏感目標(biāo)。持續(xù)性存在：一般我們對(duì)客戶做滲透不需要。通過rookit、后門、添加管理賬號(hào)、駐扎手法等。清理痕跡：清理相關(guān)日志（訪問，操作）、上傳文件等。獲取所需對(duì)滲透測(cè)試信息進(jìn)行整理，主要有以下幾種方式：整理滲透工具：整理滲透過程中用到的代碼、POC、EXP等。整理收集信息：整理滲透過程中收集到的一切信息。整理漏洞信息：整理滲透過程中遇到的各種漏洞、各種脆弱位置信息。信息整理對(duì)滲透測(cè)試結(jié)果進(jìn)行梳理，形成報(bào)告，主要有以下幾種方式：按需整理：按照之前第一步跟客戶確定好的范圍、需求來整理資料，并將資料形成報(bào)告。補(bǔ)充介紹：要對(duì)漏洞成因、驗(yàn)證過程和帶來危害進(jìn)行分析。修補(bǔ)建議：當(dāng)然要對(duì)所有產(chǎn)生的問題提出合理高效安全的解決辦法。形成報(bào)告目錄/CONTENTSWeb應(yīng)用滲透基礎(chǔ)HTTP基礎(chǔ)原理OWASPTOP10HTTP是HyperTextTransferProtocol（超文本傳輸協(xié)議）的縮寫。HTTP設(shè)計(jì)用來將超文本標(biāo)記語言(HTML)文檔從Web服務(wù)器傳送到Web瀏覽器HTTP是一個(gè)請(qǐng)求和回應(yīng)協(xié)議：客戶機(jī)發(fā)送請(qǐng)求，服務(wù)器對(duì)請(qǐng)求給出回應(yīng)HTTP使用可靠的TCP連接，默認(rèn)TCP端口是80。承載于TLS或SSL協(xié)議層之上，默認(rèn)端口為443。（https）HTTP簡(jiǎn)介HTTP協(xié)議永遠(yuǎn)都是客戶端發(fā)起請(qǐng)求，服務(wù)器回送響應(yīng)。這樣就限制了使用HTTP協(xié)議，無法實(shí)現(xiàn)在客戶端沒有發(fā)起請(qǐng)求的時(shí)候，服務(wù)器將消息推送給客戶端。HTTP協(xié)議是一個(gè)無狀態(tài)的協(xié)議，同一個(gè)客戶端的這次請(qǐng)求和上次請(qǐng)求是沒有對(duì)應(yīng)關(guān)系。HTTP的請(qǐng)求響應(yīng)模型非持久連接：瀏覽器首先初始化與運(yùn)行http服務(wù)器主機(jī)的TCP連接，使用URL指定端口瀏覽器通過與TCP連接相關(guān)聯(lián)的本地套接字發(fā)出一個(gè)HTTP請(qǐng)求消息服務(wù)器接收到請(qǐng)求之后，解析請(qǐng)求并處理請(qǐng)求，然后通過一個(gè)套接字發(fā)出相應(yīng)消息服務(wù)器通知TCP需要關(guān)閉連接（在瀏覽器收到相應(yīng)消息之后才會(huì)真正終止連接）瀏覽器收到響應(yīng)消息，TCP連接終止持久連接：持久連接沒有關(guān)閉連接這一步，服務(wù)器響應(yīng)后會(huì)繼續(xù)讓TCP連接保持打開狀態(tài)HTTP連接1.支持客戶/服務(wù)器模式2.簡(jiǎn)單快速客戶向服務(wù)器請(qǐng)求服務(wù)時(shí)，只需傳送請(qǐng)求方法和路徑。3.靈活HTTP允許傳輸任意類型的數(shù)據(jù)對(duì)象。正在傳輸?shù)念愋陀蒀ontent-Type加以標(biāo)記。4.無連接每次連接只處理一個(gè)請(qǐng)求。服務(wù)器處理完客戶的請(qǐng)求，并收到客戶的應(yīng)答后，即斷開連接。5.HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對(duì)于事務(wù)處理沒有記憶能力。HTTP特點(diǎn)統(tǒng)一資源定位符是對(duì)可以從互聯(lián)網(wǎng)上得到的資源的位置和訪問方法的一種簡(jiǎn)潔的表示，是互聯(lián)網(wǎng)上標(biāo)準(zhǔn)資源的地址。互聯(lián)網(wǎng)上的每個(gè)文件都有一個(gè)唯一的URL，它包含的信息指出文件的位置以及瀏覽器應(yīng)該怎么處理它。URL標(biāo)準(zhǔn)格式：schema://[user:password@]domain:port/path?query_string#fragments注意：URL中允許出現(xiàn)的字符是有限制的，URL的path開始允許直接出現(xiàn)A-Za-z0-9以及半角連接(-,半角減號(hào))、下劃線(_)、句點(diǎn)(.)、波浪號(hào)(~)。其他字符均會(huì)被進(jìn)行百分號(hào)編碼URL:統(tǒng)一資源定位符HTTP的一個(gè)會(huì)話，由Request和response組成。HTTP請(qǐng)求（Requests）由請(qǐng)求行、消息報(bào)頭、請(qǐng)求正文三個(gè)部分組成請(qǐng)求行：方法，URL，協(xié)議/版本（Method-URI-Protocol/Version）消息報(bào)頭/請(qǐng)求頭(Requestheaders)請(qǐng)求正文（Entitybody）HTTP響應(yīng)（Responses)也包含三個(gè)部分:狀態(tài)行、消息報(bào)頭、響應(yīng)正文狀態(tài)行：協(xié)議狀態(tài)代碼描敘（Protocol-Statuscode-Description）消息報(bào)頭（Responseheaders）響應(yīng)正文（Entitybody）HTTP報(bào)文根據(jù)協(xié)議的學(xué)習(xí)我們了解HTTP協(xié)議分為兩個(gè)部分：請(qǐng)求和回應(yīng)。而平時(shí)瀏覽網(wǎng)頁，請(qǐng)求報(bào)文是經(jīng)過瀏覽器包裝好的，不通過工具直接訪問只能夠控制很少的部分。要想真正的人為控制與服務(wù)器交互，只能通過代理抓包的方法。代理：作為客戶端和服務(wù)器的中間者，在利用http協(xié)議交互時(shí)，所有請(qǐng)求和回應(yīng)都不會(huì)直接發(fā)送給目標(biāo)而是由代理接受和轉(zhuǎn)發(fā)。設(shè)置代理進(jìn)入瀏覽器的“選項(xiàng)”配置網(wǎng)絡(luò)代理“設(shè)置”通常在本機(jī)（代理在本機(jī)上）進(jìn)行抓包：設(shè)置ip地址為，端口為任意空閑端口并記錄（代理模式為http代理）

瀏覽器代理設(shè)置進(jìn)入burpsuite的proxy選項(xiàng)點(diǎn)擊Options設(shè)置欄選中需要的代理地址點(diǎn)擊edit進(jìn)行配置將IP和端口設(shè)置為與瀏覽器中相同的選項(xiàng)burpsuite代理設(shè)置切換到proxy功能中的Intercept窗口將intercept選項(xiàng)置為On開啟狀態(tài)瀏覽器訪問任意網(wǎng)頁，Burp即可抓取到請(qǐng)求報(bào)文抓包實(shí)踐HTTP請(qǐng)求（Requests）由請(qǐng)求行、消息報(bào)頭、請(qǐng)求正文三個(gè)部分組成請(qǐng)求行：方法，URL，協(xié)議/版本（Method-URI-Protocol/Version）消息報(bào)頭(Requestheaders)請(qǐng)求正文（Entitybody）HTTP請(qǐng)求報(bào)文HTTP請(qǐng)求方法HTTP請(qǐng)求方法Host:主要用于指定被請(qǐng)求支援的Internet主機(jī)和端口號(hào)User-Agent:向服務(wù)端傳遞客戶端操作系統(tǒng)、瀏覽器、和其他屬性Referer:包含一個(gè)URL，代表當(dāng)前URL的上一個(gè)URLCookie:是一段文本，通常來表示請(qǐng)求者的身份Range:Range可以請(qǐng)求實(shí)體部分內(nèi)容，多線程下載一定會(huì)用到此請(qǐng)求頭x-forward-for:即XFF頭，代表請(qǐng)求端的IP，也可以是多個(gè)，中間用逗號(hào)隔開Accept:用于指定客戶端接收哪些MIME類型的信息Accept-Charset:用于指定客戶端接收的字符集HTTP請(qǐng)求首部信息：就是實(shí)體內(nèi)容的屬性，包括實(shí)體信息類型，長(zhǎng)度，壓縮方法，最后一次修改時(shí)間等。Content-Type:用于向接收方指示實(shí)體的介質(zhì)類型。Content-Encoding:被用作媒體類型的修飾符，表示了已經(jīng)被用到實(shí)體正文的附加內(nèi)容編碼，想要獲得content-type報(bào)頭域中所引用的媒體類型，必須采用相應(yīng)的解碼機(jī)制。Content-Length:用于指明實(shí)體正文的長(zhǎng)度，以字節(jié)方式存儲(chǔ)的十進(jìn)制數(shù)字來表示。Last-Modified:用于指示資源的最好修改時(shí)間和日期。HTTP請(qǐng)求首部HTTP響應(yīng)（Responses)也包含三個(gè)部分:狀態(tài)行、消息報(bào)頭、響應(yīng)正文狀態(tài)行：協(xié)議狀態(tài)代碼描敘（Protocol-Statuscode-Description）消息報(bào)頭（Responseheaders）響應(yīng)正文（Entitybody）HTTP響應(yīng)1、狀態(tài)行：HTTP-VersionStatus-CodeReason-PhraseHTTP-Version表示服務(wù)器HTTP協(xié)議的版本；Status-Code表示服務(wù)器發(fā)回的響應(yīng)狀態(tài)代碼Reason-Phrase表示狀態(tài)代碼的文本描述。狀態(tài)代碼有三位數(shù)字組成，第一個(gè)數(shù)字定義了響應(yīng)的類別，且有五種可能取值：1xx：指示信息--表示請(qǐng)求已接收，繼續(xù)處理，范圍是100~101

2xx：成功--表示請(qǐng)求已被成功接收、理解、接受，范圍是200~2063xx：重定向--要完成請(qǐng)求必須進(jìn)行更進(jìn)一步的操作，范圍是300~3054xx：客戶端錯(cuò)誤--請(qǐng)求有語法錯(cuò)誤或請(qǐng)求無法實(shí)現(xiàn)，范圍是400~4155xx：服務(wù)器端錯(cuò)誤--服務(wù)器未能實(shí)現(xiàn)合法的請(qǐng)求，范圍是500~5052、響應(yīng)報(bào)頭3、響應(yīng)正文就是服務(wù)器返回的資源的內(nèi)容HTTP響應(yīng)200：客戶端請(qǐng)求成功302：重定向404：請(qǐng)求的資源不存在400：客戶端請(qǐng)求有語法錯(cuò)誤，不能被服務(wù)器所理解401：請(qǐng)求未授權(quán)403：服務(wù)器收到請(qǐng)求，但是拒絕提供服務(wù)500：服務(wù)器內(nèi)部錯(cuò)誤503：服務(wù)器當(dāng)前不能處理客戶端的請(qǐng)求，一段時(shí)間后可能恢復(fù)正常HTTP常見響應(yīng)狀態(tài)碼響應(yīng)頭：是服務(wù)器根據(jù)客戶端發(fā)送的請(qǐng)求返回的內(nèi)容HTTP響應(yīng)首部Server:服務(wù)器所使用的Web服務(wù)器名稱Set-Cookie:向客戶端設(shè)置CookieLast-Modified:服務(wù)器通過這個(gè)頭信息告訴瀏覽器，資源的最后修改時(shí)間Location:告訴瀏覽器去訪問那個(gè)頁面，瀏覽器接收到這個(gè)請(qǐng)求后會(huì)立刻訪問Location頭所指向的頁面Refresh:服務(wù)器通過Refresh頭告訴瀏覽器定時(shí)刷新瀏覽器HTTP響應(yīng)首部HTTP協(xié)議的使用極為廣泛，但是在設(shè)計(jì)時(shí)并沒有考慮到信息的加密和驗(yàn)證問題，因此HTTP面臨著數(shù)據(jù)明文傳送和缺乏對(duì)消息完整性的驗(yàn)證這兩個(gè)問題。HTTP協(xié)議在數(shù)據(jù)傳輸過程中，只要攻擊者能夠控制到受害者的網(wǎng)絡(luò)，便可以輕易的嗅探、修改HTTP傳輸?shù)膬?nèi)容。HTTP協(xié)議在傳輸客戶端請(qǐng)求和服務(wù)端響應(yīng)時(shí)，僅僅在報(bào)文頭部包含了傳輸數(shù)據(jù)長(zhǎng)度，沒有任何校驗(yàn)數(shù)據(jù)完整性的機(jī)制。HTTP安全問題為了加強(qiáng)web服務(wù)數(shù)據(jù)傳輸是的安全性，提出了HTTPS協(xié)議，通過在TCP層與HTTP層增加一個(gè)SSL(安全套接字層)來增強(qiáng)數(shù)據(jù)傳輸時(shí)的安全性。使用HTTPS時(shí)，數(shù)據(jù)的傳輸?shù)募用芙饷芫蠸SL進(jìn)行，與上層HTTP無關(guān)。HTTPS提高了數(shù)據(jù)傳輸時(shí)的機(jī)密性，有著嚴(yán)格的完整性校驗(yàn)，大大提升的信息傳輸?shù)陌踩浴TTP安全協(xié)議HTTPS是在HTTP協(xié)議基礎(chǔ)上，HTTP請(qǐng)求與響應(yīng)都是以相同的方式進(jìn)行工作，主要區(qū)別如下：HTTP是超文本傳輸協(xié)議，信息明文傳輸。HTTPS是有安全性的SSL加密傳輸協(xié)議。HTTP與HTTPS采用是完全不同的連接方式，HTTP是80端口，HTTPS是443端口。HTTP連接相對(duì)簡(jiǎn)單，是無狀態(tài)的，而HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸，身份認(rèn)證的網(wǎng)絡(luò)協(xié)議。HTTP與HTTPS的區(qū)別目錄/CONTENTSWeb應(yīng)用滲透基礎(chǔ)HTTP基礎(chǔ)原理OWASPTOP10開放式Web應(yīng)用程序安全項(xiàng)目（OWASP，OpenWebApplicationSecurityProject）是一個(gè)非營利組織，不附屬于任何企業(yè)或財(cái)團(tuán)，它提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實(shí)際、有成本效益的信息。其目的是協(xié)助個(gè)人、企業(yè)和機(jī)構(gòu)來發(fā)現(xiàn)和使用可信賴軟件。OWASPOWASP項(xiàng)目最具權(quán)威的就是其“十大安全漏洞列表”（OWASPTop10），OWASPTop10不是官方文檔或標(biāo)準(zhǔn)，而只是一個(gè)被廣泛采用的意識(shí)文檔，被用來分類網(wǎng)絡(luò)安全漏洞的嚴(yán)重程度，目前被許多漏洞獎(jiǎng)勵(lì)平臺(tái)和企業(yè)安全團(tuán)隊(duì)評(píng)估錯(cuò)誤報(bào)告。這個(gè)列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞，可以幫助IT公司和開發(fā)團(tuán)隊(duì)規(guī)范應(yīng)用程序開發(fā)流程和測(cè)試流程，提高Web產(chǎn)品的安全性。OWASPTop102021年版TOP10相較于2017版本產(chǎn)生三個(gè)新類別，且進(jìn)行了一些整合。OWASPTOP102021訪問強(qiáng)制實(shí)施策略，使用戶無法在其預(yù)期權(quán)限之外操作。失敗的訪問控制通常導(dǎo)致未經(jīng)授權(quán)的信息泄露，修改或者銷毀所有數(shù)據(jù)，或在用戶權(quán)限之外執(zhí)行業(yè)務(wù)功能。常見的CWE包括：將敏感信息泄露給未經(jīng)授權(quán)的參與者、通過發(fā)送的數(shù)據(jù)泄露敏感信息、跨站請(qǐng)求偽造（CSRF）。A01：失效的訪問控制常見的訪問控制脆弱點(diǎn)：違法最小權(quán)限原則或默認(rèn)拒絕原則，即訪問權(quán)限應(yīng)只授予特定能力、角色或用戶，但實(shí)際上任何人都可以訪問；通過修改URL（參數(shù)修改或強(qiáng)制瀏覽），內(nèi)部應(yīng)用程序狀態(tài)或者HTML頁面，或者使用修改API請(qǐng)求的攻擊工具繞過訪問控制檢查；通過提供唯一的標(biāo)識(shí)符允許查看或編輯他人賬戶；API沒有對(duì)POST、PUT和DELETE強(qiáng)制執(zhí)行訪問控制；特權(quán)提升，在未登陸的情況下假扮用戶或以用戶身份登入時(shí)充當(dāng)管理員。A01：失效的訪問控制預(yù)防措施：除公有資源外，默認(rèn)訪問拒絕使用一次性的訪問控制機(jī)制，并在整個(gè)應(yīng)用程序中不斷重用它們，包括最小化跨資源共享（CORS）的使用建立訪問控制模型以強(qiáng)制執(zhí)行所有權(quán)記錄，而不是簡(jiǎn)單接受用戶創(chuàng)建、讀取、更新或刪除的任何記錄在日志中記錄失敗的訪問控制，并在適當(dāng)時(shí)向管理員告警（例如：重復(fù)故障）A01：失效的訪問控制?傳輸中的數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)都有哪些保護(hù)需求？例如：密碼、信用卡號(hào)、醫(yī)療記錄、個(gè)人信息和商業(yè)秘密需要額外保護(hù)。敏感數(shù)據(jù)泄露更像是一種常見的表象問題而不是根本原因，這項(xiàng)風(fēng)險(xiǎn)重點(diǎn)是與加密機(jī)制相關(guān)的故障（或缺乏加密機(jī)制）。A02：加密機(jī)制失效常見的加密機(jī)制脆弱點(diǎn)：在傳輸數(shù)據(jù)過程中是否使用明文傳輸？這和傳輸協(xié)議有關(guān)：HTTP、SMTP、經(jīng)過TLS升級(jí)的FTP；外部網(wǎng)絡(luò)流量是有害的，需要驗(yàn)證所有的內(nèi)部通信；無論是在默認(rèn)情況還是在舊的代碼中，是否還在使用任何舊或者脆弱的加密算法或傳輸協(xié)議；是否默認(rèn)使用加密密鑰、生成或重復(fù)使用脆弱的加密密鑰，或者是否缺少適當(dāng)?shù)拿荑€管理或密鑰回轉(zhuǎn)；接收到的服務(wù)器證書和信任鏈?zhǔn)欠窠?jīng)過正確驗(yàn)證。A02：加密機(jī)制失效預(yù)防措施：對(duì)應(yīng)用程序處理、存儲(chǔ)或者傳輸?shù)臄?shù)據(jù)分類，并根據(jù)相關(guān)要求確認(rèn)哪些數(shù)據(jù)敏感。對(duì)于沒有必要存儲(chǔ)的敏感數(shù)據(jù)，應(yīng)當(dāng)盡快清除。確保加密存儲(chǔ)所有的敏感數(shù)據(jù)。確保使用了最新的，強(qiáng)大的標(biāo)準(zhǔn)算法、協(xié)議和密鑰，并且密鑰管理到位。禁用緩存對(duì)包含敏感數(shù)據(jù)的響應(yīng)。不要使用傳統(tǒng)協(xié)議HTTP、FTP等來傳輸敏感數(shù)據(jù)。A02：加密機(jī)制失效?將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時(shí)，會(huì)產(chǎn)生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當(dāng)授權(quán)的情況下執(zhí)行非預(yù)期命令或訪問數(shù)據(jù)。常見的CWE：跨站點(diǎn)腳本、SQL注入、文件名或路徑的外部控制。A03：注入常見的注入脆弱點(diǎn)：應(yīng)用程序不會(huì)驗(yàn)證、過濾或清洗用戶提供的數(shù)據(jù)動(dòng)態(tài)查詢或無上下文感知轉(zhuǎn)義的非參數(shù)化調(diào)用之間在解釋器中使用惡意數(shù)據(jù)被直接使用或連接。SQL或命令包含動(dòng)態(tài)查詢、命令或存儲(chǔ)過程中的結(jié)構(gòu)和惡意數(shù)據(jù)A03：注入預(yù)防措施：防止注入需要將數(shù)據(jù)與命令和查詢分開：使用安全的API使用肯定或者白名單服務(wù)器端輸入驗(yàn)證對(duì)于任何殘余的動(dòng)態(tài)查詢，使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入的情況下大量披露記錄A03：注入?“不安全設(shè)計(jì)”是2021年新增的一個(gè)類型，它重點(diǎn)關(guān)注的是設(shè)計(jì)缺陷的風(fēng)險(xiǎn)，“不安全設(shè)計(jì)”代表的是一類漏洞。不安全設(shè)計(jì)和不安全實(shí)現(xiàn)直接存在差異，我們區(qū)別設(shè)計(jì)缺陷和實(shí)現(xiàn)缺陷是有原因的，安全設(shè)計(jì)仍然可能存在實(shí)現(xiàn)缺陷，從而導(dǎo)致可能被利用的漏洞。A04：不安全設(shè)計(jì)常見不安全設(shè)計(jì)脆弱點(diǎn)：需求和資源管理安全設(shè)計(jì)安全開發(fā)生命周期A04：不安全設(shè)計(jì)預(yù)防措施：與應(yīng)用安全專業(yè)人員建立并使用安全的開發(fā)生命周期，以幫助評(píng)估和設(shè)計(jì)與安全和隱私相關(guān)的控制；限制用戶或服務(wù)的資源消耗；通過設(shè)計(jì)咋所有層中嚴(yán)格隔離租戶；根據(jù)暴露和保護(hù)需要，對(duì)系統(tǒng)層和網(wǎng)絡(luò)層進(jìn)行分層。A04：不安全設(shè)計(jì)?90%的web應(yīng)用程序都經(jīng)歷過錯(cuò)誤配置測(cè)試。缺少一個(gè)體系的、可重復(fù)的應(yīng)用程序安全配置過程（安全基線），系統(tǒng)將處于高風(fēng)險(xiǎn)中。A05：安全配置錯(cuò)誤常見的安全配置脆弱點(diǎn)：應(yīng)用程序棧的任何部分缺少適當(dāng)?shù)陌踩庸蹋蛘咴品?wù)的權(quán)限配置錯(cuò)誤；應(yīng)用程序啟用或安裝了不必要的功能（例如：不必要的端口、服務(wù)、網(wǎng)頁、賬戶或權(quán)限）；默認(rèn)賬戶和密碼仍然可用且沒有更改；錯(cuò)誤處理機(jī)制向用戶紕漏堆棧信息或其他大量錯(cuò)誤信息；對(duì)于升級(jí)的系統(tǒng)，最新的安全特性被禁用或未安全配置；應(yīng)用程序服務(wù)器、應(yīng)用程序框架（如：Struts、Spring、ASP。net）、庫文件、數(shù)據(jù)庫等沒有進(jìn)行安全配置。A05：安全配置錯(cuò)誤預(yù)防措施：一個(gè)可以快速且易于部署在另一個(gè)鎖定環(huán)境的可重復(fù)的加固過程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該進(jìn)行相同配置，并且在每個(gè)環(huán)境中使用不同的密碼。這個(gè)過程應(yīng)該是自動(dòng)化的，以盡量減少安裝一個(gè)新安全環(huán)境的消耗搭建最小化平臺(tái)，該平臺(tái)不包含任何不必要的功能、組件、文檔和實(shí)例。移除或不安裝不適用的功能和框架檢查和修復(fù)安全配置來適應(yīng)最新的安全說明、更新和補(bǔ)丁，并將作為更新管理過程的一部分一個(gè)能在組件和用戶間提供有效的分離和安全性的分段應(yīng)用程序架構(gòu)。A05：安全配置錯(cuò)誤?客戶端和服務(wù)器使用了易受攻擊的組件版本，就可能成為被攻擊者攻擊的目標(biāo)。不安全的組件是我們測(cè)試和評(píng)估風(fēng)險(xiǎn)的已知問題，漏洞庫、應(yīng)用指紋等。A06：自帶缺陷和過時(shí)的組件常見的過時(shí)組件脆弱點(diǎn)：不知道所使用的組件的版本不定期掃描漏洞，不關(guān)注所使用組件的官方公告沒有以基于風(fēng)險(xiǎn)的方式及時(shí)修復(fù)或升級(jí)底層平臺(tái)、框架和依賴項(xiàng)。這通常發(fā)生在修補(bǔ)是變更控制下的每月或每季度任務(wù)的環(huán)境中，使組織面臨數(shù)天或數(shù)月不必要地暴露于固定漏洞的風(fēng)險(xiǎn)。軟件開發(fā)人員不測(cè)試、升級(jí)或修補(bǔ)庫的兼容性不保護(hù)組件的配置A06：自帶缺陷和過時(shí)的組件預(yù)防措施：制定相應(yīng)的計(jì)劃，對(duì)整個(gè)軟件生命周期進(jìn)行監(jiān)控、評(píng)審、升級(jí)或更改配置；制定補(bǔ)丁管理流程；移除不使用的依賴、不需要的功能、組件、文件和文檔；僅從官方渠道安全的獲取組件，并使用前面機(jī)制來降低組件被篡改或加入惡意漏洞的風(fēng)險(xiǎn)；監(jiān)控那些不再維護(hù)或者不發(fā)布安全補(bǔ)丁的庫和組件。如果不能打補(bǔ)丁，就考慮部署虛擬補(bǔ)丁來監(jiān)控、檢查或保護(hù)。A06：自帶缺陷和過時(shí)的組件?之前稱為無效的身份認(rèn)證，通俗地說，該漏洞會(huì)導(dǎo)致攻擊者使用用戶的用戶名和密碼進(jìn)行填充，從而入侵系統(tǒng)。常見的CWE包括：身份識(shí)別失效相關(guān)的漏洞。A07：身份識(shí)別和身份驗(yàn)證錯(cuò)誤常見的身份識(shí)別脆弱點(diǎn)：允許像是攻擊者已經(jīng)擁有有效用戶名稱和密碼列表的撞庫自動(dòng)化攻擊；允許暴力或其他自動(dòng)化攻擊；允許預(yù)設(shè)、脆弱、常見的密碼；使用脆弱或無效的認(rèn)證資訊回復(fù)或忘記密碼的流程；使用明碼，被加密的或使用較脆弱雜湊法的密碼。A07：身份識(shí)別和身份驗(yàn)證錯(cuò)誤預(yù)防措施：實(shí)施弱密碼的檢查，如測(cè)試新設(shè)定或變更的密碼是否存在于前10000個(gè)最差密碼清單；在可能的情況下，實(shí)施多因素認(rèn)證來防止自動(dòng)化撞庫攻擊，暴力破解，以及遭竊認(rèn)證咨詢被重復(fù)利用的攻擊；不要交付或部署任何預(yù)設(shè)的認(rèn)證憑證，特別是管理者；限制或增加登入失敗嘗試的延遲。A07：身份識(shí)別和身份驗(yàn)證錯(cuò)誤這是2021年的新類型，著重在軟體更新，關(guān)鍵資料及持續(xù)性整合/部署(CI/CD)流程未經(jīng)完整性驗(yàn)證之假設(shè)。同時(shí)在CVE/CVSS資料加權(quán)后之最高影響之一。值得注意的CWE包含CWE-502：不受信任資料之反序列化，CWE-829：包含來自不受信任控制領(lǐng)域之功能及CWE-494：下載未經(jīng)完整性驗(yàn)證之程式碼。A08：軟件和數(shù)據(jù)完整性故障常見軟件和數(shù)據(jù)完整性故障脆弱點(diǎn)：物件或資料經(jīng)編碼或序列化到一個(gè)對(duì)攻擊者可讀寫之結(jié)構(gòu)中將導(dǎo)致不安全的反序列化應(yīng)用程式依賴來自于不受信任來源，典藏庫及內(nèi)容遞送網(wǎng)路之外掛，函式庫或模組。不安全的持續(xù)性整合/部署(CI/CD)流程則會(huì)造成潛在的未經(jīng)授權(quán)存取，惡意程式碼或系統(tǒng)破壞。現(xiàn)在許多應(yīng)用程式擁有自動(dòng)更新功能，但自動(dòng)更新功能在缺乏充足完整性驗(yàn)證功能時(shí)就下載并安裝更新到處于安全狀態(tài)下的應(yīng)用程式。攻擊者能上傳自制更新檔案，更新檔案將傳播到所有已安裝之應(yīng)用程式并在這些應(yīng)用程式上執(zhí)行。A08：軟件和數(shù)據(jù)完整性故障預(yù)防措施：使用數(shù)字簽名或類似機(jī)制來驗(yàn)證軟件或數(shù)據(jù)來自預(yù)期來源，且未被修改。確保庫和依賴項(xiàng)目，如：npm或Maven，正在使用受信任的存儲(chǔ)庫。如果您的風(fēng)險(xiǎn)較高，請(qǐng)考慮托管一個(gè)經(jīng)過審核的、內(nèi)部已知合格的存儲(chǔ)庫。確保使用軟件供應(yīng)鏈安全工具（如：OWASPDependencyCheck或OWASPCycloneDX）來驗(yàn)證組件不包含已知漏洞。確保對(duì)代碼和配置更改進(jìn)行審核，以最大限度地減少惡意代碼或配置引入軟件管道的可能性。確保您的CI/CD管道具有適當(dāng)?shù)母綦x、配置和訪問控制，以確保代碼在構(gòu)建和部署過程中的完整性。A08：軟件和數(shù)據(jù)完整性故障確保通過特定形式的完整性檢查或數(shù)字簽名來檢測(cè)序列化數(shù)據(jù)是否存在篡改或重播，所有未簽名或未加密的序列化數(shù)據(jù)不會(huì)發(fā)送到不受信任的客戶端。A08：軟件和數(shù)據(jù)完整性故障?2017年以前，“安全日志記錄和監(jiān)控失敗”叫做“日志記錄和監(jiān)控不足”，此類型已經(jīng)擴(kuò)展包括很多類型的漏洞。它指的是在沒有日志記錄和監(jiān)控，將無法檢測(cè)到漏洞，此類故障會(huì)直接影響可見性、事件報(bào)警和取證。A09：安全日志和監(jiān)控故障常見的安全日志和監(jiān)控脆弱點(diǎn)：不記錄可審計(jì)的事件，例如登錄、失敗登錄和高價(jià)值交易；警告和錯(cuò)誤不會(huì)生成、不充分或不清楚的日志消息；不會(huì)監(jiān)控應(yīng)用程序和API的日志是否存在可疑活動(dòng)；日志僅存儲(chǔ)在本地；適當(dāng)?shù)木瘓?bào)閾值和響