科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全十大工具及应用策略搞定OWASP热门威胁

十大工具及应用策略搞定OWASP热门威胁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果你以一位安全问题分析师的角度,已经花费了不少时间来寻求网页应用程序的安全保障方案,或者是以开发者的身份来探讨SDLC的实践应用,那么你很可能会对OWASP的十大工具感兴趣,进而在今后面对问题的时候用到它们的功能。

来源:51CTO 2011年3月31日

关键字: OWASP 注入式攻击 XSS CSRF

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共10页)

  如果你以一位安全问题分析师的角度,已经花费了不少时间来寻求网页应用程序的安全保障方案,或者是以开发者的身份来探讨SDLC的实践应用,那么你很可能会对OWASP的十大工具感兴趣,进而在今后面对问题的时候用到它们的功能。首先十大工具存在的目的是作为一种应对机制,其内容涵盖了由一个应用程序方面的众多安全专家所组成的全球性联盟所达成的共识性目标,即处理最关键的网页应用程序安全漏洞。我们即将介绍的这十大OWASP安全管理工具,除了能够为用户的应用程序进行风险项目管理及相关的实用培训之外,还包含了有关应用程序测试及相关问题修复的内容。目前对于应用程序安全管理的从业者及开发者来说,在管理这一类软件的使用风险中,具备合适的工具包是非常有必要的。

  正因为WhiteHat Security对这十大安全工具的卓越贡献,我顺理成章地从他们推出的第十一版网页安全现状统计报告中援引了一些关键性的内容。

  首先,"资料外泄"在安全问题的成因中所占的比例高达四分之一甚至三分之一。在该报告中,资料外泄的概念被定义为"内容涵盖广泛,用以描述在某个网站上经由安全漏洞而导致的敏感数据暴露,例如页面应用程序的技术细节、运行环境或是用户的个人信息。"你将会看到在对OWASP十大安全工具进行考量时,如何在实例中通过资料外泄现象将软件漏洞的所在定位出来。

  其次,WhiteHat安全报告所涉及的各项经验教训值得被一提再提,加以重视,因为它们完全符合我们在本文中要讨论的议题。

  第一课:

  软件总会有编码错误,而该错误被利用之后就产生了安全漏洞。因此,考虑到一套既具备时效性又必须安全可靠的软件的开发周期(简称SDLC)不能太长,我们的应对态度应该是尽量减少安全漏洞的数量及降低不进行修复所导致的后果的严重程度,而不一定要彻底将其消除。

  第二课:

  仅仅一个单独的网站安全漏洞被恶意利用,就足以对整个正常的网上业务造成极大的干扰,例如导致数据丢失、动摇网站用户的使用信心等等。因此,这些漏洞被发现的越早,恶意攻击者可资利用的时间就越短,其攻击成功的机率自然也就大大降低了。

  如此一来,结论其实非常简单:尽量减少并及时修复网页应用程序的漏洞将大大降低网站被攻击的次数,并改善安全状况。我们应该立即着手实施,对不对?答案是否定的,这种结论已经过时,"安全保障处理方案"现在可以说只是种古董级的陈词滥调。如果每个人都致力于达成前面所提到的"降低风险及修复漏洞"工作,我们可能已经没必要再讨论什么十大热门安全工具或者是研究第十二版的网页安全状况统计报告(比目前最新的再新一版)。但是注意,我们还是得做点富有实效的独特工作,没错吧?

  Gifford Pinchot曾经说过:"不要对一场比赛的结果进行下注,除非你亲身参与到这场比赛中去。"

  因为提出解决方案永远比不住地抱怨更有效,让我们将目光转向评测,深入探讨今天文章的主角--十大热门安全工具--是如何评选得出,以及怎样在实际应用中利用其功能帮助我们解决问题。首先请看下列概述。

  OWASP十大页面应用程序安全风险(所有信息根据2010年的应用情况归纳得出)如下:

  第一位: 注入式攻击 注入类漏洞

  例如SQL,OS以及LDAP注入,发生在不受信任的数据作为一条指令或是查询要求的一部分被发往解释程序之时。攻击者所植入的恶意数据可以骗过解释程序,导致该指令或查询要求在无意中被执行。

  第二位: 跨站点脚本(简称XSS)

  每当一个应用程序携带了不受信任的数据并将其发送至页面浏览器,而又未经过相关验证及转换解析时,XSS类漏洞就会蠢蠢欲动。XSS允许攻击者在受害者的浏览器中执行脚本,这会导致用户的会话遭受劫持、网站受到破坏或者是将用户的访问目标重新定向至某些恶意网站。

  第三位:无效的认证及会话管理功能

  应用程序的相关认证及会话管理功能在执行过程中常常发生各种问题,导致攻击者有可能获取到密码、密钥、会话授权或是通过利用其它执行性漏洞来盗取用户身份。

  第四位: 对不安全对象的直接引用

  当一位开发者公开了某种对内部执行对象的引用,例如一个文档、索引系统或是数据库关键信息时,这种不利情况就有可能发生。由于缺乏访问控制检查或其它安全保护措施,攻击者们能够利用这些引用信息对那些未获授权的数据进行访问。

  第五位: 伪造的跨站点请求 (简称CSRF)

  CSRF类攻击的特点是,强迫受害者的某个已进行登录操作的浏览器向安全保护薄弱的页面应用程序发送一条伪造的HTTP请求,包括受害者会话缓存内容及其它任何自动产生的包含认证信息的内容。这就导致了攻击者可以通过强制受害者浏览器向具有漏洞的应用程序传递请求的方式,使相关的应用程序认定该请求是受害者本人所发出的合理请求。

  第六位: 安全设置错误

  好的安全保障体系需要一套经过精心定义及部署的设置方案,其对象包括应用程序、系统框架、应用程序服务、页面服务、数据库服务以及运行平台等。上述这些设定应该被精确地定义、执行和保存,然而事实上大多数情况下,用户会直接使用安全保障系统的默认设置,而其中有许多项目并未被正确配置,包括全部软件的及时更新以及应用程序所要调用的全部代码库。

  第七位: 加密存储方面的不安全因素

  许多页面应用程序并未利用适当的加密或散列手段来妥善保护好那些敏感内容,例如信用卡信息、社保卡信息以及身份验证信息等。攻击者们可以窃取或修改这些保护不力的数据以对受害者进行身份盗用、信用卡诈骗或其它犯罪行为。

  第八位: 不限制访问者的URL

  许多页面应用程序在转向那些受保护的链接及按钮之前,都会对访问者的URL进行检查。然而,应用程序其实需要在每一次接收到页面访问请求时,都进行一次这样的检查,否则攻击者们将可以通过伪造URL的方式随意访问这类隐藏的页面。

  第九位: 传输层面的保护力度不足

  应用程序常常无法实现验证、加密以及保护机密及敏感的网络通信内容的完整性等功能。当这种情况发生时,应用程序有时会选择支持那些低强度的加密算法、使用过期的或者无效的验证信息,或者是无法正确应用这些安全保障功能。

  第十位: 未经验证的重新指向及转发

  页面应用程序经常将使用者的访问请求重新指向或转发至其它网页和网站上,并使用不受信任的数据来定位目标页面。如果没有正确的验证机制在此过程中加以制约,攻击者完全可以将受害者的访问请求重新指向到钓鱼类或其它恶意软件网站上,或者将访问转发至未经授权的页面。

  对于OWASP十大页面应用程序安全风险中的九个,我都将通过推荐对应管理工具的方式帮助大家识别,并降低这类风险对大家公司及个人在网站运营及服务提供方面的危害。而且我要做的,是努力为每一类风险提供多种不同的解决方案以供大家选择,从而避免同一安全保障软件被重复使用。从其中选择最适合自己的独特工具吧。

  以下是一个关于安全风险及其应对工具的表格:

  安全风险应对工具

  第一位: 注入式风险SQL Inject Me

  第二位: 跨站点脚本 (简称XSS)ZAP

  第三位: 无效的认证及会话管理功能HackBar

  第四位: 对不安全对象的直接引用Burp

  第五位: 伪造的跨站点请求(简称CSRF)Tamper Data

  第六位: 安全配置错误Watobo

  第七位: 加密存储方面的不安全因素N/A

  第八位: 不限制访问者的URLNikto/Wikto

  第九位: 传输层面的保护力度不足Calomel

  第十位: 未经验证的重新指向及转发Watcher

  除此之外还有很多针对这类工作的工具;这份简单的名单所列出的只是那些我曾经亲自使用过的,处理各种协议、研究及日常工作的工具。我向你保证,如果你有针对性地对这些工具软件加以自定义及设定,那么这个工具软件集合在对安全薄弱环节进行评估方面绝对会发挥巨大的作用。我还会为大家推介一些非常实用的相关资源。Samurai Web Testing Framework (WTF) 就是一款非常优秀的,基于Linux的LiveCD所发行的工具,它由Secure Ideas的Kevin Johnson以及InGuardians的Justin Searle共同开发完成。这款工具的两位制作者将其定义为最好的开源且免费的工具,用来应付那些有关网页检测及页面攻击的问题,而其功能性方面的选择方案则是由两位制作者由自身日常工作中遇到的情况而斟酌得出。作为武士系列工具的一部分,同样还存在着武士WTF火狐附加组件工具集,其中包含为你的火狐浏览器量身订做的网页应用程序渗透测试及安全分析附加组件。

  我最喜爱的测试工具及方案的平台是OWASP的 WebGoat,这是一款"主动暴露安全隐患的J2EE网页应用程序,其设计目的是为大家提供网页应用程序安全经验"。我推荐WebGoat5.3 RC1标准发布版作为教学工具,因为它的功能性更接近于一个实验平台。详情请参阅包含WebGoat实验平台使用指南的下载站点。

  最后,别忘了FoxyProxy这款火狐专用的代理类附加组件,它同样是我们上面提到的工具软件集的"必备一员",因为代理功能在我们的测试中是经常会被用到的。

    • 评论
    • 分享微博
    • 分享邮件