隨着WEB應用技術的不斷進步與發展,WEB應用程序承載了越來越多的業務,而隨之而來的也是WEB應用所面臨的越來越復雜的安全問題。而WEB日志作為WEB安全中的一個重要組成部分,不但可在事后起到追蹤和溯源的作用,更能在日常維護中作為安全運維工作的重要參考依據。
一、OWASP的安全威脅
OWASP(開放Web軟體安全項目- Open Web Application Security Project) 是一個開源的、非盈利的全球性安全組織,致力於應用軟件的安全研究。其使命是使應用軟件更加安全,使企業和組織能夠對應用安全風險作出更清晰的決策。目前OWASP全球擁有130個分會近萬名會員,共同推動了安全標准、安全測試工具、安全指導手冊等應用安全技術的發展。
| 編號 |
來源 |
描述 |
是否產 生日志 |
備注 |
| 01 |
OWASP |
Injection |
是 |
已定義特征 |
| 02 |
OWASP |
Broken Authentication and session Management |
是 |
統計分析 |
| 03 |
OWASP |
Cross-Site Scripting (XSS) |
是 |
已定義特征 |
| 04 |
OWASP |
Insecure Direct Object References |
是 |
已定義部分攻擊特征+正確配置 |
| 05 |
OWASP |
Security Misconfiguration |
否 |
日志中不記錄具體請求的內容信息 |
| 06 |
OWASP |
Sensitive Data Exposure |
否 |
日志中不記錄具體請求的內容信息 |
| 07 |
OWASP |
Missing Function Level Access Control |
是 |
已定義部分攻擊特征+正確配置 |
| 08 |
OWASP |
Cross-Site Request Forgery (CSRF) |
否 |
日志中不記錄具體請求的內容信息 |
| 09 |
OWASP |
Using Components with Known Vulnerabilities |
是 |
已定義特征 |
| 10 |
OWASP |
Unvalidated Redirects and Forwards |
否 |
日志中不記錄具體請求的內容信息 |
二、分析規則
2.1 Injection 注入
| 來源 |
WASC |
ID |
40 |
檢測方案 |
特征匹配 |
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入 |
|||||
| 已定義匹配規則 |
||||||
2.2 失效的身份認證和會話管理
2.2.1 Credential/Session ID Prediction
| 來源 |
WASC |
ID |
|
檢測方案 |
統計分析 |
|
| 涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
| Apache |
host、需要cookie信息、request |
|||||
| 分析方法 |
統計同一源IP短時間內訪問web的無效session(cookie)次數,如果超過一定的基線閾值則可以視為攻擊。 如果同一session ID在一定時間內,由不同client IP address在重用,則可以視為攻擊。 URI中如出現大量sessionID字串的順序出現 |
|||||
2.2.2 會話超時設置不當
| 來源 |
WASC |
ID |
|
檢測方案 |
|
|
| 涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
|
|
Apache |
host、需要cookie信息、request |
||||
| 分析方法 |
根據會話需要,設置會話的過期時間,並且提供logout功能。 |
|||||
2.3 Cross-Site Scripting (xss)跨站腳本
| 來源 |
WASC |
ID |
|
檢測方案 |
特征匹配 |
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
已定義匹配規則 |
|||||
2.4 不安全的直接對象引用
2.4.1 Path Traversal(pt) 路徑遍歷
| 來源 |
其他 |
ID |
|
檢測方案 |
特征匹配 |
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
Detects basic directory traversal 檢測到路徑遍歷 |
|||||
| 已定義規則 |
||||||
2.4.2 水平越權
| 來源 |
其他 |
ID |
|
檢測方案 |
|
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
遍歷用戶id批量獲取用戶信息 |
|||||
| 正確配置:判斷用戶的session id,是否具有訪問或操作權限; 將id進行加密。 |
||||||
2.5 安全配置錯誤
| 來源 |
WASC |
ID |
|
檢測方案 |
|
|
| 涉及字段 |
IIS |
Client IP Address(c-ip)、URI、HTTP Status(sc-status) |
||||
| Apache |
host、request、statuscode |
|||||
| 分析方法 |
默認配置漏洞容易被利用 修改為安全的屬性配置。最少使用模塊配置,最少權限配置。 |
|||||
2.6 敏感數據泄漏
2.6.1 HTTPS傳輸
| 來源 |
其他 |
ID |
58 |
檢測方案 |
|
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
頁面傳輸使用https保護傳輸 |
|||||
2.6.2 信息未加密
| 來源 |
其他 |
ID |
59 |
檢測方案 |
|
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
對敏感信息進行加密。 對用戶來說,不用應用的密碼設置為不同的,防止撞庫。 |
|||||
2.7 缺失級功能訪問控制
2.7.1 Sensitive Path Guess敏感路徑猜測
| 來源 |
其他 |
ID |
|
檢測方案 |
特征匹配 |
|
| 目標字段 |
IIS |
Ip referrer url status |
||||
| Apache |
Ip referrer url status |
|||||
| 分析方法 |
是否訪問了該服務器敏感目錄如admin等管理后台. 已定義規則。 |
|||||
2.7.2 垂直權限缺失訪問控制
| 來源 |
其他 |
ID |
59 |
檢測方案 |
|
|
| 目標字段 |
IIS |
URI Query(cs-uri-query) |
||||
| Apache |
request |
|||||
| 分析方法 |
屬於業務設計缺陷的安全問題, 正確配置:應當對訪問控制加權限。 |
|||||
2.9 The Third Party Components Access第三方組件訪問
| 來源 |
其他 |
ID |
|
檢測方案 |
特征匹配 |
|
| 目標字段 |
IIS |
URI status |
||||
| Apache |
Request status |
|||||
| 分析方法 |
大多第三方組件曾出現過嚴重安全漏洞,且均存在缺失路徑,如果對某組件出現過漏洞的路徑進行訪問,則有可能為攻擊行為,包含的組件有在線編輯器ewebeditor和fckeditor,其特征分別為eWebEditor、eWebEditor.mdb、editor/admin_login.asp和filemanager、editor/filemanager/browser等 |
|||||