希賽小編為考生整理了2022年信息安全工程師考試知識點（三十七）：Web安全的需求分析與基本設(shè)計，希望對大家備考信息安全工程師考試會有幫助。

Web安全的需求分析與基本設(shè)計

【考法分析】

本知識點主要是對web安全需求分析與基本設(shè)計的考查。

【要點分析】

1．2013年版本的OWASP（開源Web應(yīng)用安全項目） TOP10包括的十大最有可能發(fā)生的應(yīng)用漏洞：① 注入攻擊：攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語句結(jié)尾加上額外的查詢語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢；② 失效的身份認(rèn)證和會話管理；③ 跨站腳本(XSS)：當(dāng)用戶不小心單擊這樣帶有惡意代碼的鏈接時，其用戶信息就有可能被攻擊者盜取；④ 不安全的直接對象引用；⑤ 安全配置錯誤：許多設(shè)置的默認(rèn)值并不是安全的；⑥ 敏感信息泄露；⑦ 功能級訪問控制缺失；⑧ 跨站請求偽造(CSRF)：一個跨站請求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請求，包括該用戶的會話cookie和其他認(rèn)證信息，發(fā)送到一個存在漏洞的web應(yīng)用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請求；⑨ 使用更含有已知漏洞的組件；⑩ 未驗證的重定向和轉(zhuǎn)發(fā)。

2．可以從以下幾個方面來避免漏洞攻擊：① 常使用自帶的安全的API；② 如果沒法使用一個參數(shù)化的API，那么你應(yīng)該使用解釋器具體的escape語法來避免特殊字符；③ 加強(qiáng)對用戶輸入的驗證。

3．對于失效的身份認(rèn)證和會話管理的防范，我們可以從以下方面來著手：① 一套單一的強(qiáng)大的認(rèn)證和會話管理控制系統(tǒng)；② 區(qū)分公共區(qū)域和受限區(qū)域；③ 鎖定賬戶和禁用帳戶策略；④ 保護(hù)身份驗證Cookie；⑤ 口令、會話時限。

【備考點撥】

了解并理解相關(guān)知識點內(nèi)容。