4. 漏洞检测技术—风险检测
4.1 主要WEB应用漏洞
4.1.1 OWASP十大安全威胁
开放式WEB应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为非常好的实务,国际信用卡资料安全技术PCI标准更将其列为必须采用有效措施进行针对性防范。
▲
图1 2010年OWASP十大安全威胁
Figure2 2010 The top 10 security threat of OWASP
编号
| 漏洞名称 | 产生原理 |
1 | 注入漏洞 | 应用程序未对用户输入的数据库查询语句进行合法性检验 |
2 | 跨站脚本漏洞 | 应用程序未对用户输入的执行代码进行合法性检验 |
3 | 认证和会话管理隐患 | 应用程序中的认证和会话管理功能未得到正确执行 |
4 | 直接对象引用隐患 | 应用程序直接引用外部对象时,未进行合法性检验 |
5 | 跨站请求伪造 | WEB站点对用户浏览器进行认证而非用户本身 |
6 | 安全配置错误 | 应用程序、WEB服务器、中间件等未进行合理的安全配置 |
7 | 限制URL访问失败 | 隐藏页面访问控制失效 |
8 | 尚未认证的访问重定向 | URL重定向未进行合法性检验 |
9 | 密码存储不当 | 应用程序未使用恰当的加密算法保护敏感数据 |
10 | 传输层保护不足 | 未使用恰当的加密算法保护传输过程中的敏感数据 |
表1 2010 OWASP十大安全威胁原理介绍
Table 1 The principle of OWASP top 10 security threat
4.1.1 CWE/SANS 25大危险编程错误
一般弱点列举(Common Weakness Enumeration CWE)是由美国国家安全局首先倡议的战略行动,该行动的组织最近发布了《2010年CWE/SANS最危险的程序设计错误(PDF)》一文,其中列举了作者认为最严重的25种代码错误,同时也是软件最容易受到攻击的点。OWASP Top 10,所关注的是WEB应用程序的安全风险,而CWE的Top 25的覆盖范围更广,包括著名的缓冲区溢出缺陷。CWE还为程序员提供了编写更安全的代码所需要的更详细的内容。
4.2 WEB应用漏洞规则库
我们经过多年WEB应用安全领域的研究,结合国内外优秀组织的经典总结、描述以及验证,建立起一套几乎涵盖所有可能带来安全威胁的WEB应用安全漏洞的丰富的WEB应用漏洞规则库,包括各个安全漏洞的产生原理、检测规则、可能危害、漏洞验证等等,通过自动化手段,对网络爬虫所获取到的网站页面进行逐一检测。随着安全漏洞的不断产生、攻击手段的不断演变,WEB应用漏洞规则库也不断获得充实和改进。
