Lab专栏 安保危险案例剖析 一 OWASP RiverSec API Top10 (labsolutions安装教程)

本文目录导航：

• 【RiverSec Lab专栏】OWASP API Top10 安保危险案例剖析（一）
• DNS危险剖析及安保防护钻研（一）：DNS自身危险剖析（国科云）
• 剖析危险的方法有哪些

【RiverSec Lab专栏】OWASP API Top10 安保危险案例剖析（一）

随着API攻打的增多，OWASP组织推出了API安保十大危险总结。

本文将联合实例解析这十大危险。

API，即运行程序编程接口，是运行程序间通信的桥梁，蕴含web运行、操作系统、数据库等。

接口安保破绽或者引发凭据失窃、数据窜改、违规爬取和数据暴露等疑问。

API危险Top1：失效的对象级别授权对象级授权是经过代码成功的访问控制机制。

攻打者经过修正对象ID失掉未授权访问，造成敏感数据暴露，重大时能控制整个账户。

主机依赖用户恳求中的对象ID选择访问权限，理论不完整跟踪用户形态。

实例：Shopify网站在20年存在API破绽，经过修正链接中的ID值失掉不同用户数据，未完善权限控制，准许攻打者遍历用户数据，引发敏感信息走漏。

API危险Top2：失效的用户身份验证身份验证机制不严厉或打算思考不全，攻打者能破坏验证令牌，盗用其余用户身份，破坏系统识别才干，侵害API安保性。

实例：某数据交互接口，后端主机验证URL令牌确认恳求合法性，前端生成令牌逻辑被攻打者提取，生成有效令牌发起恶意恳求。

API危险Top3：适度的数据暴露API照应蕴含过多敏感信息，攻打者经常使用敏感数据爬取工具剖析照应，查找不应前往给用户的额外敏感信息。

实例：某用户名查问接口前往一切用户信息，应仅前往用户名，但实践照应蕴含一切用户信息，形成数据暴露。

API危险Top4：资源不足和速率限度API恳求占用资源，如网络、CPU、内存、存储等。

未限度客户端或用户恳求资源大小或数量，造成主机性能降低，影响API服务，为身份验证破绽开路。

实例：某数据查问接口未限度传入参数大小，攻打者修正参数值至极大值，应用burp工具批量发送恳求，构成拒绝服务攻打，造成主机解体。

API危险Top5：失效的配置级授权攻打者应用破绽访问不应访问的API，暴露给非授权用户，特意是垂直越权，如将HTTP方法从GET交流为PUT，或修正URL中的字符串。

API更易发现这类缺点。

实例：案例相似Top1疑问，但并重权限优化，如Nord Security的垂直越权案例，修正传入ID值失掉不同权限账户的敏感数据。

DNS危险剖析及安保防护钻研（一）：DNS自身危险剖析（国科云）

DNS作为互联网基础服务，在网站运转中至关关键，但是其安保性常被漠视。

DNS驳回UDP协定，安保破绽显著，攻打者应用破绽发起攻打，引发数据阻拦、缓存区中毒和拒绝服务攻打等疑问。

近年来，域名劫持和攻打事情频发，如2009年巴西银行遭受的DNS缓存投毒攻打，以及2013年国度域名解析节点遭到的DNS拒绝服务攻打，均凸显了DNS安保的关键性。

本文从DNS自身架构缺点和经常出现要挟角度启动剖析，并提出防护倡导，以优化DNS安保性，增强其抵御网络攻打的才干，从而优化DNS在新环境下的配置多样性和笼罩范围。

1. DNS安保危险剖析DNS危险关键体如今协定软弱性、系统软弱性和结构软弱性三个方面。

1.1 协定软弱性DNS设计时未充沛思考安保，驳回UDP传输，信息不加密，资源记载无防伪造包全，易遭受缓存投毒、数据窃听等攻打。

DNS缓存投毒是最经常出现的攻打模式，重大破坏DNS安保性和准确性。

此外，DNS存在隐衷暴露疑问，查问环节或者暴露用户身份、设施类型等敏感信息，造成信息被合法收集和剖析。

1.2 系统软弱性BIND技术是DNS软件服务中最罕用打算，世界超越90%的DNS主机驳回该技术，虽然教训了屡次降级，但开源个性使安保危险难以齐全防止。

CVE数据显示，BIND软件破绽高达102项，触及多个版本，包括DoS、缓冲区溢出、权限破绽等。

2016年ISC BIND9远程灵活降级信息拒绝服务破绽，造成多家DNS服务商出现缓存中毒疑问，影响世界网络次第。

1.3 结构软弱性DNS体系结构中，根主机处于外围位置，担任世界顶级域名的位置信息。

在DNS树状分层结构下，根主机缺点将对整个DNS系统及互联网形成重大影响。

2002年和2007年，根主机遭受大规模DDoS攻打，造成瘫痪，影响世界数亿用户访问互联网。

目前，DNS依赖IPv4下13台根主机和IPv6环境下25台IPv6根主机，虽优化了多边共治才干，但未从基本上处置体系结构软弱性。

剖析危险的方法有哪些

剖析危险的方法有以下几种：

1. 危险评价法

危险评价法是一种罕用的危险剖析方法。

它触及对潜在危险的识别、剖析和评价，包括危险出现的或者性和影响水平。

经过对这些要素的综合剖析，可以对危险启动排序，从而确定须要重点关注的危险畛域。

2. 概率危险评价法

概率危险评价法是一种基于概率的危险评价方法。

它经过对历史数据和现有数据的剖析，预算危险出现的概率，并据此计算潜在损失。

这种方法可以量化危险，为决策者提供详细的危险目的，有助于做出更为迷信的决策。

3. 敏理性剖析

敏理性剖析是一种关注危险要素变动对目的发生影响的剖析方法。

经过对关键危险要素启动识别和剖析，评价其变动对目的的影响水平，从而确定哪些危险要素对目的最为敏感。

这种方法有助于优先处置那些对目的影响最大的危险要素。

4. 因果剖析法（也称为鱼骨图剖析法）

因果剖析法是一种经过绘制因果图来剖析危险的方法。

这种方法可以协助识别危险发生的基本要素和或者的结果，从而协助治理者系统地理解危险发生的机理和或者的影响。

经过因果图，可以直观地展现危险的起源和或者造成的结果，有助于制订针对性的危险治理措施。

以上就是对剖析危险的方法的详细解释。

每种方法都有其共同的好处和实用范围，在实践运行中可以依据详细状况选用适合的方法启动危险剖析。