OWASP十大攻击类型详解

随着WEB应用技术的不断进步与发展，WEB应用程序承载了越来越多的业务，而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分，不但可在事后起到追踪和溯源的作用，更能在日常维护中作为安全运维工作的重要参考依据。

一、OWASP的安全威胁

OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。其使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

编号	来源	描述	是否产 生日志	备注
01	OWASP	Injection	是	已定义特征
02	OWASP	Broken Authentication and session Management	是	统计分析
03	OWASP	Cross-Site Scripting (XSS)	是	已定义特征
04	OWASP	Insecure Direct Object References	是	已定义部分攻击特征+正确配置
05	OWASP	Security Misconfiguration	否	日志中不记录具体请求的内容信息
06	OWASP	Sensitive Data Exposure	否	日志中不记录具体请求的内容信息
07	OWASP	Missing Function Level Access Control	是	已定义部分攻击特征+正确配置
08	OWASP	Cross-Site Request Forgery (CSRF)	否	日志中不记录具体请求的内容信息
09	OWASP	Using Components with Known Vulnerabilities	是	已定义特征
10	OWASP	Unvalidated Redirects and Forwards	否	日志中不记录具体请求的内容信息

二、分析规则

2.1 Injection  注入

来源		WASC	ID	40	检测方案	特征匹配
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入
		已定义匹配规则

2.2 失效的身份认证和会话管理

2.2.1 Credential/Session ID Prediction

来源		WASC	ID		检测方案	统计分析
涉及字段	IIS	Client IP Address(c-ip)、需要cookie信息、URI
	Apache	host、需要cookie信息、request
分析方法		统计同一源IP短时间内访问web的无效session（cookie）次数,如果超过一定的基线阈值则可以视为攻击。 如果同一session ID在一定时间内，由不同client IP address在重用，则可以视为攻击。 URI中如出现大量sessionID字串的顺序出现

2.2.2 会话超时设置不当

来源		WASC	ID		检测方案
涉及字段	IIS	Client IP Address(c-ip)、需要cookie信息、URI
	Apache	host、需要cookie信息、request
分析方法		根据会话需要，设置会话的过期时间，并且提供logout功能。

2.3 Cross-Site Scripting (xss)跨站脚本

来源		WASC	ID		检测方案	特征匹配
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		已定义匹配规则

2.4 不安全的直接对象引用

2.4.1 Path Traversal(pt) 路径遍历

来源		其他	ID		检测方案	特征匹配
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		Detects basic directory traversal 检测到路径遍历
		已定义规则

2.4.2 水平越权

来源		其他	ID		检测方案
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		遍历用户id批量获取用户信息
		正确配置：判断用户的session id，是否具有访问或操作权限； 将id进行加密。

2.5 安全配置错误

来源		WASC	ID		检测方案
涉及字段	IIS	Client IP Address(c-ip)、URI、HTTP Status(sc-status)
	Apache	host、request、statuscode
分析方法		默认配置漏洞容易被利用 修改为安全的属性配置。最少使用模块配置，最少权限配置。

2.6 敏感数据泄漏

2.6.1 HTTPS传输

来源		其他	ID	58	检测方案
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		页面传输使用https保护传输

2.6.2 信息未加密

来源		其他	ID	59	检测方案
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		对敏感信息进行加密。 对用户来说，不用应用的密码设置为不同的，防止撞库。

2.7 缺失级功能访问控制

2.7.1 Sensitive Path Guess敏感路径猜测

来源		其他	ID		检测方案	特征匹配
目标字段	IIS	Ip referrer url status
	Apache	Ip referrer url status
分析方法		是否访问了该服务器敏感目录如admin等管理后台. 已定义规则。

2.7.2 垂直权限缺失访问控制

来源		其他	ID	59	检测方案
目标字段	IIS	URI Query(cs-uri-query)
	Apache	request
分析方法		属于业务设计缺陷的安全问题， 正确配置：应当对访问控制加权限。

2.9 The Third Party Components Access第三方组件访问

来源		其他	ID		检测方案	特征匹配
目标字段	IIS	URI  status
	Apache	Request  status
分析方法		大多第三方组件曾出现过严重安全漏洞，且均存在缺失路径，如果对某组件出现过漏洞的路径进行访问，则有可能为攻击行为，包含的组件有在线编辑器ewebeditor和fckeditor，其特征分别为eWebEditor、eWebEditor.mdb、editor/admin_login.asp和filemanager、editor/filemanager/browser等