通过上一篇文章使我们得知了信息安全与网络安全之间的区别以及分别做什么的,今天我将给大家介绍一下信息安全中较为庞大的一个分支中的分支——web安全。
web安全顾名思义,就是web服务的安全,web服务通常由服务器、中间件、插件、内容构成,而攻击者就是通过某种特殊的手段已达到拿下web服务器为目的。
web安全每年都会由国际组织“开放式web应用程序安全项目(owasp)”来定义每年危害排前10的漏洞,但个人觉得每年这个榜基本上变化都不大,接下来我们就来了解一下该组织每年所定义的危害排名前十的漏洞(简称OWASP TOP 10):
1.注入
该漏洞是一个大类,其中细分为sql注入、命令注入、css注入、模板注入等通过某种特殊的手段去绕过限制使服务器或者数据库执行攻击者所传输的语句。
2.访问控制
该漏洞是因为程序或者服务器出现某种bug时导致了用户可以查看非用户本身的资料,使得攻击者能够通过某种特殊的手段去查看其他用户的资料并且能使普通用户使用到管理员用户的功能。
3.加密失败
该漏洞是今年新加入进来的,它是因为服务器在传输敏感数据(账户与密码)时因为某种原因导致密钥外泄、数据以明文传输等,从而使攻击者能够通过某种手段破译密文得到明文的漏洞。
4.安全配置错误
该漏洞是因为某种不经意的原因,使得软件的默认账户密码没有删除、默认配置没有修改等能被攻击者获取并轻易通过这类配置成功非法入侵进系统。
5.过时的组件
该漏洞是因为网站所用的中间件等组件没有即使的打补丁或者更新,使攻击者能够通过网上已公开的EXP进行攻击。
6.服务器端请求伪造(SSRF)
该漏洞是因为网站因为没有对远程获取资源的用户进行验证,导致非法用户都能成功获取到网站的铭感信息。
7.安全日志或监控失效
该漏洞是因为某种原因使服务器端的日志或监控没能对可疑的行为进行记录。
8.软件和数据完整性缺失
该漏洞是因为某种特殊的原因使得软件的数据在传输的半路被截胡了,然后等到达终端时数据以及被修改或者被删除了部分,从而导致终端用户没能阅读到原本所传输的数据。
还有一些因为smdpy也没怎么搞明白(这是2021版的),所以在此先不进行介绍说明。