概要
什么是应用安全风险?#
攻击者可以通过很多不同的路径对组织和业务造成伤害,每一种路径都代表一种风险。这些路径有的是容易发现的,有的却非常难。
应用安全风险 Top 10#
| 应用安全风险 | 描述 | 可开发性 | 流行度 | 可检测性 | 技术影响 |
|---|---|---|---|---|---|
| Inject | 注入漏洞指不信任的数据被发送给解释器(SQL、NoSQL、OS、LDAP)做为命令或查询执行,使得攻击者可以访问越权数据。 | 3 | 2 | 3 | 3 |
| Broken Authentication | 应用认证和会话管理的功能实现经常是存在漏洞的,这些漏洞允许攻击者损害密码、密钥、令牌或者利用替他漏洞假扮用户身份。 | 3 | 2 | 2 | 3 |
| Sensitive Data Exposure | 许多 Web 应用和 APIs 没有正确的保护财务、健康等敏感数据。攻击者可能偷取这些信息进行信用卡诈骗等犯罪活动。敏感数据可能在没有额外保护(如 内容加密、传输加密等)的情况下受到损害。 | 2 | 3 | 2 | 3 |
| Broken Access Control | 对于已经通过认证的用户哪些功能可以访问也经常存在不正确的实现。攻击者利用这些漏洞访问未经授权的功能或数据。例如访问其他用户的账户、敏感文件、修改访问权限等。 | 2 | 2 | 2 | 3 |
| 当页面中含有不被信任的数据(如:HTML、 JavaScript) 且缺乏有效的验证、过滤手段时XSS 漏洞就发生了。XSS 允许攻击者在被害者的浏览器中执行脚本,这些脚本会劫持用户 sessions、损害网站或者把用户导向一个恶意网站。 | 3 | 3 | 3 | 2 |