课程笔记:OWASP 组织与十大 Web 安全漏洞
课程名称:计算机网络应用 核心摘要:本讲为 Web 应用安全与加速课程第五部分的开篇,介绍全球开源安全组织 OWASP 的定位、影响力及其核心项目 OWASP Top 10(十大 Web 应用安全风险)。重点梳理 2017 版十大漏洞的归类与演变,为后续逐项讲解 XSS、SQL 注入等攻击防护奠定框架基础。
一、 核心概念与原理
1. OWASP 组织概述
- 全称:Open Web Application Security Project(开放式 Web 应用程序安全项目)
- 性质:开源、非营利性的全球组织,不隶属于任何财团或国家(起源于美国)
- 定位:致力于应用软件安全研究,提供安全标准、漏洞清单与防护建议
- 官网:
- 国际站:
owasp.org - 中国站:
owasp.org.cn
- 国际站:
2. OWASP 的行业影响力
| 机构 / 标准 | 对 OWASP 的态度 |
|---|---|
| Web 应用安全领域 | 视 OWASP 为权威参考 |
| 美国联邦贸易委员会(FTC) | 强烈建议所有企业遵循 OWASP 十大 Web 弱点防护守则 |
| 国际信用卡数据安全技术标准(PCI DSS) | 将 OWASP 列为必要组件 |
| 美国国防信息安全局 | 列入安全参考 |
| IBM AppScan、HP WebInspect | 商业漏洞扫描工具,均以 OWASP Top 10 作为主要漏洞参考标准 |
3. OWASP Top 10 项目
- 含义:即"十大漏洞 / 十大弱点"项目,定期发布当前 Web 应用面临的前十大安全风险
- 发布周期:每隔数年发布一次(非每年),仅当漏洞清单发生变化时才更新
- 2013 版 → 2017 版(本次课官网可查最新版本)
- 编号含义:A1 ~ A10 按危险程度排序,A1 最危险
- 文档形式:官网提供中/英文 PDF,包含组长、翻译、审查人员信息及每项风险的详细描述
二、 技术细节与协议分析
1. OWASP Top 10(2017 版)十大 Web 应用安全风险
| 编号 | 漏洞名称 | 说明 |
|---|---|---|
| A1 | 注入(Injection) | 包括 SQL 注入、XML 注入、脚本注入等,危险程度最高 |
| A2 | 失效的认证(Broken Authentication) | 身份认证机制失效,导致会话劫持、凭证填充等 |
| A3 | 敏感数据泄露(Sensitive Data Exposure) | 未加密传输或存储敏感信息 |
| A4 | XML 外部实体(XXE) | 针对 XML 解析器的外部实体注入攻击 |
| A5 | 失效的访问控制(Broken Access Control) | 由 2013 版 A4(不安全的直接对象引用)与 A7(功能级访问控制缺失)合并而成 |
| A6 | 安全配置错误(Security Misconfiguration) | 默认配置、开放端口、详细错误信息等 |
| A7 | 跨站脚本(XSS) | 分为反射型、存储型、基于 DOM 三种 |
| A8 | 不安全的反序列化(Insecure Deserialization) | 导致远程代码执行、权限提升 |
| A9 | 使用含有已知漏洞的组件(Components with Known Vulnerabilities) | 第三方库、框架未及时修补 |
| A10 | 日志监控不足(Insufficient Logging & Monitoring) | 攻击发生无法及时察觉与溯源 |
2. 2013 版 → 2017 版 演变要点
- A4(不安全的直接对象引用) + A7(功能级访问控制缺失) → 合并为新版 A5 失效的访问控制
- 注入、失效的认证等高危项保持不变,始终位居前列
- 编号顺序反映当前危险程度排名,并非固定不变
3. OWASP 官方重点关注项目
| 项目 | 作用 |
|---|---|
| OWASP Top 10 | 十大漏洞清单与防护参考 |
| WebGoat(Web 羔羊) | 靶机平台,提供攻防演练环境,通过实战推演提升安全防护能力 |
| 在线网络安全攻防实验室 | 线上攻防训练 |
| 代码安全项目 | 源代码层面的安全规范 |
三、 实践应用与配置命令
官网资料获取方式
# 访问中国官网
https://owasp.org.cn
# 查阅 Top 10 文档
OWASP 项目 → OWASP Top 10 → 下载中文版/英文版 PDF
# PDF 内容结构(以跨站脚本 XSS 为例)
1. 攻击原理图(来源、威胁、攻击向量、安全弱点、影响)
2. 漏洞描述与分类(反射型 / 存储型 / 基于 DOM)
3. 防护方案
4. 攻击案例场景
5. 参考资料
漏洞扫描工具对照
| 厂商 | 工具 | 类型 | 参考标准 |
|---|---|---|---|
| IBM | AppScan | 商业收费 | OWASP Top 10 |
| HP | WebInspect | 商业收费 | OWASP Top 10 |
四、 重点与难点提示
- 必记:OWASP 全称 = Open Web Application Security Project,开源、非营利、全球性组织
- 必记:Top 10 项目每隔数年(非每年)发布一次,官网最新为 2017 版
- 易错点:A1 ~ A10 排序代表危险程度而非漏洞编号固定,A1(注入)最危险
- 考点:2017 版 A5 失效的访问控制 由 2013 版 A4 + A7 合并而来
- 考点:XSS 三种类型——反射型、存储型、基于 DOM
- 考点:注入攻击涵盖 SQL 注入、XML 注入(XXE)、脚本注入
- 面试题:OWASP Top 10 有哪些?请列举并简述注入攻击的防护思路
- 面试题:常见商业漏洞扫描工具及其参考标准
五、 课后疑问/遗留问题
- 2017 版之后(2021 版)十大漏洞有哪些变化?需自行查阅 OWASP 官网补充
- 十大漏洞中每一项的具体攻击原理与防护手段将在后续课程(5.1 ~ 5.9)逐项展开
- 下一讲将首先讲解跨站脚本攻击(XSS)(Top 10 中排名第七位)
- WebGoat 靶机平台如何搭建并用于实战演练?留待实验环节验证