PHP开发漏洞与运维安全-第4讲-OWASP十大网络安全问题(上)

北风网项目实战培训讲师：风雨（北风网版权所有)Php开发漏洞及运维安全第四讲OWASP十大网络安全问题（上）OWASP简介开放式Web应用程序安全项目（OWASP，OpenWebApplicationSecurityProject）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。开放式Web应用程序安全项目（OWASP）是一个非营利组织，不附属于任何企业或财团。因此，由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASPTOP10OWASP每隔数年会更新10个最关键的Web应用安全问题清单，即OWASPTOP10。OWASPTOP10失效的身份认证和会话管理描述与认证和会话管理相关的应用程序功能往往得不到正确管理，这就导致攻击者破坏密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份。漏洞这些漏洞可能导致部分甚至全部帐户遭受攻击。一旦攻击成功，攻击者能执行合法用户的任何操作。因此特权帐户会造成更大的破坏。案例解决方法使用内置的会话管理功能。使用单一的入口点。确保在一开始登录SSL保护的网页。获取注销的权利；添加超时；确保你使用的是安全相关的功能；使用强大的认证；不进行默认身份验证；A4直接引用不安全的对象描述所谓直接引用不安全的对象，即Insecuredirectobjectreferences，意指一个已经授权的用户，通过更改访问时的一个参数，从而访问到原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用它的真实名字，且并不会对所有的目对象访问时来检查用户权限，所以这就造成不安全的对象直接引用的漏洞。我们看如下的一个示例，也许这样就更容易理解什么是不安全的对象直接引用。攻击者发现他自己的参数是6065，即?acct=6065；他可以直接更改参数为6066，即?acct=6066；这样他就可以直接看到6066用户的账户信息。危害这种漏洞能损害参数所引用的所有数据。除非名字空间很稀疏，否则攻击者很容易访问该类型的所有数据。课程学习地址：php视频教程：案例解决方法使用基于用户或会话的间接对象访问,这样能防止攻击者直接攻击未授权资源.访问检查:对任何来自不受信源所使用的所有直接对象引用都进行访问控制检测，这样才能确保用户对要求的对象有访问权限.A5安全配置错误描述安全配置错误可以发生在一个应用程序堆栈的任何层面，包括平台、Web服务器、应用服务器、数据库、架构和自定义代码。攻击者通过访问默认账户、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录等，以获得对系统未授权的访问。危害系统可能在未知的情况下被完全攻破，用户数据可能随着时间推移而被全部盗走或者篡改。案例解决方法自动化安装部署，保证开发、QA、产品环境的配置尽量相同，减少部署一个新安全环境的耗费。及时了解并部署每个环境的软件更新和补丁信息使用提供有效分离和安全性强大的应用程序架构实施漏洞扫描和安全审计，以帮助检查错误的配置或者未安装的补欢迎访问我们的官方网站