随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。
一、OWASP的安全威胁
OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
|
编号 |
来源 |
描述 |
是否产 生日志 |
备注 |
|
01 |
OWASP |
Injection |
是 |
已定义特征 |
|
02 |
OWASP |
Broken Authentication and session Management |
是 |
统计分析 |
|
03 |
OWASP |
Cross-Site Scripting (XSS) |
是 |
已定义特征 |
|
04 |
OWASP |
Insecure Direct Object References |
是 |
已定义部分攻击特征+正确配置 |
|
05 |
OWASP |
Security Misconfiguration |
否 |
日志中不记录具体请求的内容信息 |
|
06 |
OWASP |
Sensitive Data Exposure |
否 |
日志中不记录具体请求的内容信息 |
|
07 |
OWASP |
Missing Function Level Access Control |
是 |
已定义部分攻击特征+正确配置 |
|
08 |
OWASP |
Cross-Site Request Forgery (CSRF) |
否 |
日志中不记录具体请求的内容信息 |
|
09 |
OWASP |
Using Components with Known Vulnerabilities |
是 |
已定义特征 |
|
10 |
OWASP |
Unvalidated Redirects and Forwards |
否 |
日志中不记录具体请求的内容信息 |
二、分析规则
2.1 Injection 注入
|
来源 |
WASC |
ID |
40 |
检测方案 |
特征匹配 |
|
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、URL注入 |
|||||
|
已定义匹配规则 |
||||||
2.2 失效的身份认证和会话管理
2.2.1 Credential/Session ID Prediction
|
来源 |
WASC |
ID |
检测方案 |
统计分析 |
||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
|
Apache |
host、需要cookie信息、request |
|||||
|
分析方法 |
统计同一源IP短时间内访问web的无效session(cookie)次数,如果超过一定的基线阈值则可以视为攻击。 如果同一session ID在一定时间内,由不同client IP address在重用,则可以视为攻击。 URI中如出现大量sessionID字串的顺序出现 |
|||||
2.2.2 会话超时设置不当
|
来源 |
WASC |
ID |
检测方案 |
|||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、需要cookie信息、URI |
||||
|
Apache |
host、需要cookie信息、request |
|||||
|
分析方法 |
根据会话需要,设置会话的过期时间,并且提供logout功能。 |
|||||
2.3 Cross-Site Scripting (xss)跨站脚本
|
来源 |
WASC |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
已定义匹配规则 |
|||||
2.4 不安全的直接对象引用
2.4.1 Path Traversal(pt) 路径遍历
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
Detects basic directory traversal 检测到路径遍历 |
|||||
|
已定义规则 |
||||||
2.4.2 水平越权
|
来源 |
其他 |
ID |
检测方案 |
|||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
遍历用户id批量获取用户信息 |
|||||
|
正确配置:判断用户的session id,是否具有访问或操作权限; 将id进行加密。 |
||||||
2.5 安全配置错误
|
来源 |
WASC |
ID |
检测方案 |
|||
|
涉及字段 |
IIS |
Client IP Address(c-ip)、URI、HTTP Status(sc-status) |
||||
|
Apache |
host、request、statuscode |
|||||
|
分析方法 |
默认配置漏洞容易被利用 修改为安全的属性配置。最少使用模块配置,最少权限配置。 |
|||||
2.6 敏感数据泄漏
2.6.1 HTTPS传输
|
来源 |
其他 |
ID |
58 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
页面传输使用https保护传输 |
|||||
2.6.2 信息未加密
|
来源 |
其他 |
ID |
59 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
对敏感信息进行加密。 对用户来说,不用应用的密码设置为不同的,防止撞库。 |
|||||
2.7 缺失级功能访问控制
2.7.1 Sensitive Path Guess敏感路径猜测
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
Ip referrer url status |
||||
|
Apache |
Ip referrer url status |
|||||
|
分析方法 |
是否访问了该服务器敏感目录如admin等管理后台. 已定义规则。 |
|||||
2.7.2 垂直权限缺失访问控制
|
来源 |
其他 |
ID |
59 |
检测方案 |
||
|
目标字段 |
IIS |
URI Query(cs-uri-query) |
||||
|
Apache |
request |
|||||
|
分析方法 |
属于业务设计缺陷的安全问题, 正确配置:应当对访问控制加权限。 |
|||||
2.9 The Third Party Components Access第三方组件访问
|
来源 |
其他 |
ID |
检测方案 |
特征匹配 |
||
|
目标字段 |
IIS |
URI status |
||||
|
Apache |
Request status |
|||||
|
分析方法 |
大多第三方组件曾出现过严重安全漏洞,且均存在缺失路径,如果对某组件出现过漏洞的路径进行访问,则有可能为攻击行为,包含的组件有在线编辑器ewebeditor和fckeditor,其特征分别为eWebEditor、eWebEditor.mdb、editor/admin_login.asp和filemanager、editor/filemanager/browser等 |
|||||