下载文档原格式
OWASP TOP 10 20201)注入2)失效身份认证和会话管理3)敏感信息泄露4)XML外部实体注入攻击(XXE)5)访问控制中断6)安全性错误配置7)跨站脚本攻击(XSS)8)不安全的反序列化9)使用具有已知漏洞的组件10)日志记录和监控不足注入当攻击者将无效的数据发送给web应用程序来让其执行为设计的操作,就会发生代码注入问题。
此安全漏洞最常见的示例便是使用不受信任数据的SQL查询,代码注入漏洞的核心是缺乏对web应用程序使用的数据的验证和清理。
任何接收参数作为输入的内容都可能受到代码注入攻击。
危害:注入可以使数据丢失或者被破坏掉,并且缺乏可审计性或者拒绝服务。
注入漏洞有时甚至可导致完全接管主机。
防御方法:1)首选方法是使用安全的API接口,该API避免完全使用解释器,或者说提供参数化的接口或迁移为使用对象关系映射工具(ORM)。
注意:即使说你参数化了,但是如果PL/SQL或者T-SQL连接查询和数据,或者说使用EXCLUTE IMMEDIATE 或者exec()执行恶意数据,则存储过程仍然可以引入SQL注入。
2)使用肯定或“白名单”服务器端输入验证,由于许多应用程序都需要特殊字符,例如文本区域或者移动应用程序的API,因此这并不是一个完整的防御措施3)对于任何残留的动态查询,请使用该解释程序的特定转义语义来转义特殊字符,注意,表名(table),列名(column)等SQL结构无法转义,因此用户提供的结构名很危险,这是报表编写软件中的常见问题4)在查询中使用limit和其他SQL控件可防止SQL注入的情况下大量泄露记录总结:数据和web引用程序逻辑要分离实施限制,以在成功进行注入攻击的情况下限制数据公开失效的身份验证和会话管理身份验证漏洞可能让攻击者能尝试控制他们在系统中想要的任何账户,甚至更遭的是,获得对系统的完全控制,身份验证和会话管理失效通常是指在应用程序身份验证机制上发生的逻辑问题,例如恶意行为者脑力破解系统中的有效用户。
二、多项选择题,【每题 1 分】(下列各题中,分别有两个或两个以上符合题意的正确答案,请按答题卡要求,用 2B铅笔填涂你选定的信息点。
本类题共100 题,每小题 1分,共100 分。
多选。
错选、不选均不得分。
)1.《网络安全法》规定 , 国家维护网络安全的主要任务是()A.检测、防御、处置网络安全风险和威胁B.保护关键信息基础设施安全C.依法惩治网络违法犯罪活动D.维护网络空间安全和秩序【参考答案】:ABCD2.因网络安全事件,发生突发事件或者生产安全事故的,应当依照()等有关法律、行政法规的规定处置。
A.《中华人民共和国网络安全法》B.《中华人民共和国突发事件应对法》C.《中华人民共和国安全生产法》D.《中华人民共和国应急法》【参考答案】:BC3.数字签名不能通过()来实现的。
A.认证B.程序C.签字算法D.仲裁【参考答案】:ABD4.以下哪一项属于信息欺骗的范畴()A.会话劫持B.IP 欺骗C.重放攻击D.社交工程【参考答案】:BCD5.强制访问控制用户与访问的信息的读写关系正确的是()。
A.下读 : 用户级别大于文件级别的读操作B.上写 : 用户级别大于文件级别的写操作C.上读 : 用户级别低于文件级别的读操作D.下写 : 用户级别小于文件级别的写操作E.下写 : 用户级别等于文件级别的写操作【参考答案】:AC6.在设计密码的存储和传输安全策略时应考虑的原则包括()。
A.禁止文明传输用户登录信息机身份凭证B.禁止在数据库或文件系统中明文存储用户密码C.必要时可以考虑 COOKIE中保存用户密码D.应采用单向散列值在数据库中存储用户密码,并使用强密码,在生产单向散列值过程中加入随机值【参考答案】:ABD7.下面说法正确的是()A.EXCEL的行高是固定的B.EXCEL单元格的宽度是固定的,为 8 个字符宽C.EXCEL单元格的宽度是可变的,默认宽度为8 个字符宽D.EXCEL的行高和列宽是可变的【参考答案】:BD8.公司自主移动应用必须在公司范围内省级及以上集中部署,应采的移动架构与用公司统防护标准,落实“ ()”的要求,做到集中部署与集中防护。
二、多项选择题,【每题1分】(下列各题中,分别有两个或两个以上符合题意的正确答案,请按答题卡要求,用2B铅笔填涂你选定的信息点。
本类题共100题,每小题1分,共100分。
多选。
错选、不选均不得分。
)1.《网络安全法》规定,国家维护网络安全的主要任务是()A.检测、防御、处置网络安全风险和威胁B.保护关键信息基础设施安全C.依法惩治网络违法犯罪活动D.维护网络空间安全和秩序【参考答案】:ABCD2.因网络安全事件,发生突发事件或者生产安全事故的,应当依照()等有关法律、行政法规的规定处置。
A.《中华人民共和国网络安全法》B.《中华人民共和国突发事件应对法》C.《中华人民共和国安全生产法》D.《中华人民共和国应急法》【参考答案】:BC3.数字签名不能通过()来实现的。
A.认证B.程序C.签字算法D.仲裁【参考答案】:ABD4.以下哪一项属于信息欺骗的范畴()A.会话劫持B.IP欺骗C.重放攻击D.社交工程【参考答案】:BCD5.强制访问控制用户与访问的信息的读写关系正确的是()。
A.下读:用户级别大于文件级别的读操作B.上写:用户级别大于文件级别的写操作C.上读:用户级别低于文件级别的读操作D.下写:用户级别小于文件级别的写操作E.下写:用户级别等于文件级别的写操作【参考答案】:AC6.在设计密码的存储和传输安全策略时应考虑的原则包括()。
A.禁止文明传输用户登录信息机身份凭证B.禁止在数据库或文件系统中明文存储用户密码C.必要时可以考虑COOKIE中保存用户密码D.应采用单向散列值在数据库中存储用户密码,并使用强密码,在生产单向散列值过程中加入随机值【参考答案】:ABD7.下面说法正确的是()A.EXCEL的行高是固定的B.EXCEL单元格的宽度是固定的,为8个字符宽C.EXCEL单元格的宽度是可变的,默认宽度为8个字符宽D.EXCEL的行高和列宽是可变的【参考答案】:BD8.公司自主移动应用必须在公司范围内省级及以上集中部署,应采用公司统一的移动架构与防护标准,落实“()”的要求,做到集中部署与集中防护。
会话管理的安全要求在现代计算机系统中,会话管理是保证信息安全的重要方面。
正确的会话管理能够有效地防止攻击者通过会话相关的漏洞来获取敏感信息或者冒充合法用户。
因此,在设计和开发系统时,需要遵循一些安全要求来确保会话管理的安全性。
以下是会话管理的安全要求:1. 随机化会话标识符会话标识符是用来识别合法用户会话的唯一标识符。
攻击者如果能够猜测出一个合法的会话标识符,就可以利用它来冒充合法用户,并且可能会获取敏感信息。
为了防止这种攻击,系统应该使用随机的会话标识符,确保在同一时间内不会有两个相同的会话标识符被创建。
2. 限制会话过期时间会话过期时间指的是一个会话在用户没有操作时自动失效的时间。
设置合理的过期时间可以防止攻击者通过长时间的会话维持来取得用户合法的访问权限。
因此,系统设计中应该设置合理的会话过期时间,并在用户在一段时间内没有任何操作时自动销毁会话。
3. 控制会话访问范围会话访问范围是指哪些用户有权访问一个会话。
如果多个用户可以访问同一个会话,攻击者可以利用这一点来获取其他用户的信息。
为此,系统应该控制会话的访问范围,保证只有合法用户可以访问会话,并且用户在访问会话时需要进行身份验证。
4. 安全传输凭证信息会话凭证是用来证明用户身份的信息,在传输过程中,如果不加密或者加密方式不恰当,攻击者可能会从网络中窃取用户凭证信息。
因此,系统应该使用安全的传输方式,如HTTPS或者SSL/TLS等,保证在网络传输过程中凭证信息的安全性。
5. 防止会话固定攻击会话固定攻击是一种恶意攻击,攻击者能够通过劫持一个会话来获取用户的敏感信息。
因此,系统设计应该避免会话固定攻击,并在必要时采用额外的安全措施来防止此类攻击的发生。
6. 防止跨站点请求伪造攻击跨站点请求伪造攻击(CSRF)是一种攻击方式,攻击者会冒充合法用户向系统发送伪造的请求,导致系统执行攻击者所期望的操作。
对于会话管理模块,应该采用额外的防护措施来防止CSRF攻击的发生,并确保系统只能执行合法用户所发出的请求。
sessionauthentication认证什么是认证?在网络世界中,认证是指验证用户身份和传输数据的过程。
认证为用户提供了安全的登录和访问系统或服务的方法。
它确保了只有经过验证的用户可以获得所需的资源。
一种常见的认证方式是会话认证。
会话认证是指通过会话标识符来验证用户的身份和权限。
这个标识符在用户登录系统时生成,并在用户与系统保持交互期间一直保持有效。
在本文中,我们将一步一步地介绍会话认证的实现过程。
第一步是用户登录。
当用户想要访问某个系统或服务时,他们需要提供一些凭据来验证身份。
通常,这些凭据包括用户名和密码。
用户输入凭据后,系统将验证这些凭据的正确性,并为用户生成一个唯一的会话标识符。
第二步是会话管理。
一旦用户通过凭据认证成功,系统将创建一个会话会话对象,并将会话标识符与该对象关联。
会话对象包含有关用户的信息,例如权限和过期时间。
系统会将会话标识符返回给用户,并在本地存储该标识符,以便在后续的请求中使用。
第三步是会话保持。
在用户与系统保持交互期间,会话保持着用户的身份和权限信息。
每当用户发送请求时,他们都需要包含会话标识符作为请求的一部分。
系统通过该标识符来验证用户的身份,并根据用户的权限来决定是否允许该请求。
此外,系统还可以使用会话标识符来跟踪用户的活动,并在一段时间后自动将会话标识符设为过期,以增加安全性。
第四步是会话注销。
当用户想要结束会话时,他们可以选择注销。
注销操作会使系统立即使会话标识符失效,并且会话对象将被销毁。
这样,用户的身份和权限信息将被清除,用户将需要重新进行认证才能再次访问系统或服务。
在实际应用中,会话认证可以使用各种技术来实现。
一种常见的技术是使用cookie来存储会话标识符。
当用户登录系统时,系统会在响应中设置一个名为"sessionid"的cookie,并将会话标识符作为其值保存。
用户的浏览器会在后续的请求中自动将该cookie包含在请求头中,以便系统可以识别用户的会话。
认证和会话管理漏洞失效的⾝份认证和会话管理认证和授权- 认证的⽬的是为了认出⽤户是谁,授权的⽬的是为了决定⽤户能够做什么- 认证是⼀个验证凭据的过程。
- 认证分类:单因素认证& 双因素认证& 多因素认证- 认证⼿段:密码、动态⼝令、⼿机验证、数字证书、单点登录(openid)会话管理- 认证成功后,认证凭证的管理⽅式- 会话管理⽅式: cookie based ⽅式、服务器端session ⽅式1 cookie-based的管理⽅式⽤户登录成功之后,把登录凭证写到cookie⾥⾯,并给cookie设置有效期,后续请求直接验证存有登录凭证的cookie是否存在以及凭证是否有效,即可判断⽤户的登录状态2 基于server 端的服务端session的管理服务端Session技术是⽤户第⼀次访问时,服务器就会创建的对象,并分配session 存储空间。
服务器为每⼀个session 都分配⼀个唯⼀的sessionid, 以保证每个⽤户都有⼀个不同的session对象。
认证成功过,认证凭证计⼊到session存储空间中。
⾝份认证和会话管理常见安全问题账号或密码未做限制,可暴⼒猜解。
没有限制登录次数,加验证码弱密码策略,允许简单密码存在,如123456 , admin密码找回⽅案存在缺陷,如:密保问题设计密码更改⽅案存在缺陷cookie 作为认证凭证,携带敏感信息Sessionid 没有时效限制,特别是单点登录令牌在⽤户注销时没有失效成功注册后,会话ID 没有轮转。
sessionid 和其他认证凭据使⽤未加密连接传输。
混⽤个性化数据的⾝份验证数据,个性化数据适于永久的cookie,⽽⾝份验证cookie不应是永久的认证会话管理洞防御设置验证码,防⽌暴⼒猜解强制复杂密码策略,不允许默认弱密码存在⾝份认证采⽤多因素认证认证cookie 中,加⼊两个时间,⼀个是“ 即使⼀直在活动,也要失效" 的时间,⼀个是“ 长时间不活动的失效时间"cookie设置http only, 防⽌脚本读取Cookie 设置Secure, 只允许https传输⽹络传递认证凭证采⽤SSL 加密实验:利⽤永久cookie重放http 会话实验环境:asp编写的web 站点实验案例:利⽤burp嗅探该站点认证cookie特点,利⽤burp或桂林⽼兵cookie 欺骗⼯具,进⾏会话重放。
