幼幼班也能懂的 2017 OWASP TOP 10
Update: 最新的 2021 OWASP TOP 10 已經出爐囉,我也有寫文介紹有興趣可以直接點連結觀看
🔖 文章索引1. A1 注入攻擊, A2 無效身分認證
2. A3 敏感資料外洩, A4 XML外部處理器漏洞
3. A5 無效的存取控管, A6 不安全的組態設定
4. A7 跨站攻擊
5. A8 不安全的反序列化漏洞, A9 使用已有漏洞的元件, A10 紀錄與監控不足風險
指標性機構 OWASP (Open Web Application Security Project) 收集各種網頁安全漏洞,核心精神是
Be the thriving global community that drives visibility and evolution in the safety and security of the world’s software.
簡單的說就是推動世界軟體的安全性。OWASP 也歸納出容易攻擊的弱點並彙整為十大資安問題、排名、防範措施。
因為我是前端工程師,所以這一篇並不會詳細解釋程式碼如何攻擊(例如 SQL 或 PHP 指令),而是著重用自己擅長的簡單圖文解釋,希望讓跟我一樣對資安才剛入門的讀者不要排斥這個看似又深又廣又難的領域。
另外很推 經典駭客攻擊教程:給每個人的網站安全入門 的課,裡面舉的例子都很平易近人(例如用雍正竄改康熙遺詔解釋 injection,整個讓人一秒就懂)。自己也是參考他很多例子另外再畫出來的。
A1 Injection 注入攻擊
偷偷串改造成語意改變就是 Injection,就像傳說中雍正串改康熙的遺詔
SQL Injection 就是駭客透過修改 SQL 來改變他原本語意,達到竊取資料/破壞資料的行為。
以登入這個簡單例子來說,若程式邏輯是只要輸入框滿足條件 (等於 true
) 就可以拿到使用者資料,那駭客就算不需要知道使用者真實密碼也可以藉由 SQL Injection 輕易拿到使用者資料