因為雲端的崛起讓網路攻擊的模式越來越多元,

這邊幫你整理出OWASP所列出的10點:

當然如果是研究所或公職的...這類考題就要注意囉!

 

1.跨網站腳本攻擊 (cross site script, XSS):  (成大考過, 政大考過)

指的是網站中有XSS的漏洞,讓駭客有機可乘,修改網頁中的資訊,當使用者登入時,

會被誘使到錯誤的網址,進而截取其叫機密性的資料。而為什麼會有XSS的發生?

正因為某些時候我們在網頁撰寫的時候,部分內容未經過後台審核,故會造成防範上

的疏失,因而被入侵。

 

2.SQL injection:  (成大考過, 政大考過)

指的是透過SQL的語法進行欄位的輸入,若無任何對指令的篩選機制,可能造成攻擊者

不斷嘗試後可以登入,此會違反資訊安全中機密性的特性,即未授權者能夠有效存取內容。

 

3.遠端檔案含入 (Insecure Remote File Include):

指的是程式碼具有弱點,讓攻擊者從遠端任意附加惡意程式及資料,甚至導致毀滅性的攻擊,

例如整個伺服器被入侵。

 

4.不安全的物件參考 (Insecure Direct Object Reference):

會有不安全的物件參考,是因為開發者暴露了檔案、檔案夾、或資料庫的record,或是key,來作為URL或是Form的參數。

攻擊者可藉由操作這些references擅自進入其他objects中,故撰寫的過程中我們會避免利用目錄名稱作為命名,以及避免

讓使用者看到整個目錄架構,故通常會透過轉址的方式避開。

 

5.跨網站的偽造要求 (Cross Site Request Forgery, CSRF): (政大考過)

指的是在使用者登入的情況下,偽造該使用者發出訊息,流程如下:

(1).使用者登入一個正常的網站(此時正常的網站會給予user一個cookie)

(2).駭客在這個網站中埋入其他連結誘使點擊

(3).因為使用者尚未登出,故駭客可以拿到該使用者的cookie

(4).駭客可以利用這樣的方式對正常的網站進行攻擊(即拿著使用者的cookie+欲攻擊的程式碼)

 

 

6. 資訊接漏與不當錯誤處置 (Information Leakage and Improper Error Handling):

應用程式可能洩漏關於程式的設定訊息,程式內部的運轉模式,攻擊者利用這個程式弱點侵犯隱私,或者更進一步的攻擊。

例如:當駭客知道你大概的程式寫法,就有破解的方式。

 

7. 鑑別與連線管理漏洞 (Broken Authentication and Session Management):

因session token 沒有受到嚴密的保護,而被攻擊者使用密碼、或keys,或是認證的權杖(token)來冒用其他使用者的身份。

 

8.未加密的儲存設備 (Insecure Cryptographic Storage):

網路應用程式很少正常使用cryptographic functions保護資料,使得攻擊者有機可乘並冒用其他使用者身份,

進行其他犯罪行為,如盜刷信用卡等。加密函數的利用包含:

(1).條件不足即拋出異常

(2).透過叫精密的hash值包住

 

9.不安全的通訊 (Insecure Communications):

應用程式忽略以「加密」方式來保護網路通訊。如:Line就有安全的通訊機制

 

10.無權限控制URL訪問 (Failure to Restrict URL Access):

網站並無有效定義權限控管,導致攻擊者可以透過修改網址的路徑或參數,

直接存取含有機敏資訊或管理權限的頁面。

 

arrow
arrow

    張逸 發表在 痞客邦 留言(0) 人氣()