OWASP十大類Web應用安全漏洞防御利器出爐

繼07年發布國內首款web深度防御系統之后，近日安恒發布了全球首款支持全透明部署模式和HTTPS的全新一代明御Web應用防火墻，其在各項關鍵功能指標方面達到領先水平：

　　新一代最適合Web應用安全設計架構(而非IPS的流方式改造)

　　業界首臺在新架構下支持全透明部署的WAF, 即自身不需要占用IP, 除了極易部署外，　自身的安全性大大提高，而且不需要改動任何現有DNS或IP配置。

　　全面支持HTTPS　(解決了老一代Web防火墻流方式處理https的難題)

　　Web加速功能(對靜態頁面和圖片具有瀏覽加速功能)

　　應用層DOS攻擊防護

　　OWASP(開放應用安全計劃組織) 發布的十大Web應用安全漏洞代表了已達成廣泛共識的最具威脅的Web應用安全漏洞。國際著名的PCI標準(支付卡安全標準)在應用安全章節也全面引用OWASP分類和體系，并且明確指出Web應用防火墻的必要性。

　　明御WEB應用防火墻針對OWASP十大安全漏洞提供了全面且有效的安全防御措施，必將在網銀，證卷期貨，政府和互聯網在線系統Web安全方面達到深遠的影響。

　　序號OWASP 十大安全漏洞概述明御Web應用防火墻防御措施

　　1跨站腳本漏洞

　　目標網站對用戶提交的變量代碼未進行有效的過濾或轉換，允許攻擊者插入惡意WEB代碼，劫持用戶會話、篡改網頁信息甚至引入蠕蟲病毒等通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截跨站點腳本( XSS )攻擊。

　　2注入漏洞

　　注入漏洞，特別是SQL注入漏洞，主要是利用目標網站程序未對用戶輸入的字符進行特殊字符過濾或合法性校驗，可直接執行數據庫語句，導致網站存在安全風險通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截注入攻擊。

　　3惡意文件執行

　　目標網站代碼存在遠程文件包含漏洞，允許攻擊者直接上傳惡意代碼，控制目標網站;受影響的應用包括PHP以及XML 通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截惡意文件執行攻擊。

　　4直接對象引用隱患

　　直接對象引用是指開發商將內部執行對象，如文件、目錄、數據庫記錄或關鍵字以URL鏈接地址或參數形式暴露給用戶，導致敏感信息泄露通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并阻斷直接對象引用攻擊，防止惡意用戶非法訪問限定文件或目錄等敏感信息。

　　5跨站點請求偽造漏洞

　　跨站點請求偽造攻擊通過強制已登錄受害者的瀏覽器向目標網站發送預認證請求，然后強制受害者瀏覽器執行有利于攻擊者的行為，跨站點請求偽造攻擊是一種強大的Web應用攻擊方法通過對來自Web系統響應的cookies和參數注入密碼校驗功能來阻斷會話劫持和跨站點請求偽造攻擊。

　　Web應用系統中表單的發布由插入的包含加密令牌的表單驗證參數的會話所約束。該加密令牌能證明該配置行為(發布一個含有表單的頁面)是Web應用防御系統的一部分。

　　6信息泄漏和不適當的錯誤處理

　　通過各種錯誤的應用操作，應用程序可能由于其不適當的錯誤處理在無意中泄露其配置信息、內部運作信息以及侵犯隱私的敏感信息。

　　攻擊者利用該漏洞可能盜取敏感的數據，甚至發動更為危險的攻擊行為明御Web防御系統獲取Web服務器發送的錯誤信息，并重置為不包含任何敏感信息的錯誤信息返回給用戶。

　　7認證和會話管理隱患

　　帳戶憑據和會話令牌往往沒有得到適當的保護。攻擊者通過該隱患獲取用戶的密碼，密鑰，認證令牌或假冒其他使用者的身份通過對會話的Cookies進行客戶端IP地址校驗來檢測并阻斷認證和會話管理攻擊。

　　8加密存儲隱患

　　Web應用程序很少正確使用加密功能來保護重要數據和證書。攻擊者利用該隱患可能進行身份盜竊和其他犯罪，如信用卡欺詐。明御Web防御系統并不直接存儲數據。

　　盡管機密信息在日志中進行記錄，數據輸入記錄偽造功能提供可配置的數據偽造策略，有效阻斷攻擊者進行數據竊取。

　　9通信隱患

　　當有必要為保護某些敏感通信而進行數據傳送加密，Web應用數據傳送頻繁失敗。明御Web防御系統可以啟用HTTPS訪問Web資源。

　　此外HTTP (明文)請求可以重定向使用HTTPS 。

　　10無限制URL訪問隱患

　　通常，Web應用敏感信息保護模塊通過不顯示敏感信息的URL鏈接來防止未經授權的用戶訪問Web敏感信息。攻擊者利用該隱患可直接訪問敏感信息URL，獲取Web敏感信息。訪問敏感信息URL需要有效的用戶會話，未經驗證的用戶(用戶沒有一個有效的會話)的會話請求，Web防御系統將對其進行阻斷 。

原文轉自：http://www.anti-gravitydesign.com