OWASP十大类Web应用安全漏洞防御利器出炉

发表于:2009-06-15来源:作者:点击数: 标签:webWebWEB漏洞应用
继07年发布国内首款web深度防御系统之后,近日安恒发布了全球首款支持全透明部署模式和HTTPS的全新一代明御Web应用防火墙,其在各项关键功能指标方面达到领先水平: 新一代最适合Web应用 安全 设计架构(而非IPS的流方式改造) 业界首台在新架构下支持全透明部
继07年发布国内首款web深度防御系统之后,近日安恒发布了全球首款支持全透明部署模式和HTTPS的全新一代明御Web应用防火墙,其在各项关键功能指标方面达到领先水平:

  新一代最适合Web应用安全设计架构(而非IPS的流方式改造)

  业界首台在新架构下支持全透明部署的WAF, 即自身不需要占用IP, 除了极易部署外, 自身的安全性大大提高,而且不需要改动任何现有DNS或IP配置。

  全面支持HTTPS (解决了老一代Web防火墙流方式处理https的难题)

  Web加速功能(对静态页面和图片具有浏览加速功能)

  应用层DOS攻击防护

  OWASP(开放应用安全计划组织) 发布的十大Web应用安全漏洞代表了已达成广泛共识的最具威胁的Web应用安全漏洞。国际著名的PCI标准(支付卡安全标准)在应用安全章节也全面引用OWASP分类和体系,并且明确指出Web应用防火墙的必要性。

  明御WEB应用防火墙针对OWASP十大安全漏洞提供了全面且有效的安全防御措施,必将在网银,证卷期货,政府和互联网在线系统Web安全方面达到深远的影响。

  序号OWASP 十大安全漏洞概述明御Web应用防火墙防御措施

  1跨站脚本漏洞

  目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意WEB代码,劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本( XSS )攻击。

  2注入漏洞

  注入漏洞,特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。

  3恶意文件执行

  目标网站代码存在远程文件包含漏洞,允许攻击者直接上传恶意代码,控制目标网站;受影响的应用包括PHP以及XML 通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截恶意文件执行攻击。

  4直接对象引用隐患

  直接对象引用是指开发商将内部执行对象,如文件、目录、数据库记录或关键字以URL链接地址或参数形式暴露给用户,导致敏感信息泄露通过验证用户输入使用的是消极或积极的安全策略,有效检测并阻断直接对象引用攻击,防止恶意用户非法访问限定文件或目录等敏感信息。

  5跨站点请求伪造漏洞

  跨站点请求伪造攻击通过强制已登录受害者的浏览器向目标网站发送预认证请求,然后强制受害者浏览器执行有利于攻击者的行为,跨站点请求伪造攻击是一种强大的Web应用攻击方法通过对来自Web系统响应的cookies和参数注入密码校验功能来阻断会话劫持和跨站点请求伪造攻击。

  Web应用系统中表单的发布由插入的包含加密令牌的表单验证参数的会话所约束。该加密令牌能证明该配置行为(发布一个含有表单的页面)是Web应用防御系统的一部分。

  6信息泄漏和不适当的错误处理

  通过各种错误的应用操作,应用程序可能由于其不适当的错误处理在无意中泄露其配置信息、内部运作信息以及侵犯隐私的敏感信息。

  攻击者利用该漏洞可能盗取敏感的数据,甚至发动更为危险的攻击行为明御Web防御系统获取Web服务器发送的错误信息,并重置为不包含任何敏感信息的错误信息返回给用户。

  7认证和会话管理隐患

  帐户凭据和会话令牌往往没有得到适当的保护。攻击者通过该隐患获取用户的密码,密钥,认证令牌或假冒其他使用者的身份通过对会话的Cookies进行客户端IP地址校验来检测并阻断认证和会话管理攻击。

  8加密存储隐患

  Web应用程序很少正确使用加密功能来保护重要数据和证书。攻击者利用该隐患可能进行身份盗窃和其他犯罪,如信用卡欺诈。明御Web防御系统并不直接存储数据。

  尽管机密信息在日志中进行记录,数据输入记录伪造功能提供可配置的数据伪造策略,有效阻断攻击者进行数据窃取。

  9通信隐患

  当有必要为保护某些敏感通信而进行数据传送加密,Web应用数据传送频繁失败。明御Web防御系统可以启用HTTPS访问Web资源。

  此外HTTP (明文)请求可以重定向使用HTTPS 。

  10无限制URL访问隐患

  通常,Web应用敏感信息保护模块通过不显示敏感信息的URL链接来防止未经授权的用户访问Web敏感信息。攻击者利用该隐患可直接访问敏感信息URL,获取Web敏感信息。访问敏感信息URL需要有效的用户会话,未经验证的用户(用户没有一个有效的会话)的会话请求,Web防御系统将对其进行阻断 。

原文转自:http://www.ltesting.net