一、OWASP Top 10 简介
OWASP(开放Web应用安全项目)每隔几年发布一次Web应用十大安全风险列表,这是Web安全领域公认的权威指南。2026年最新版本相比之前有了显著变化,本文结合实际攻击案例和防御代码,逐一解读。
二、A01:访问控制失效
风险描述:攻击者利用权限校验漏洞访问未授权的功能或数据,如越权查看其他用户订单。
典型攻击场景:
- 修改URL中的ID参数访问他人数据(IDOR漏洞)
- 通过修改HTTP方法绕过权限校验
- 利用JWT令牌伪造提升权限
防御方案:
# 服务端必须对每个请求做权限校验
def get_order(order_id, user):
# 错误做法:只验证登录状态
# if not user.is_authenticated: return 401
# 正确做法:验证资源所有权
order = Order.query.get(order_id)
if order.user_id != user.id and not user.is_admin:
return {"error": "无权访问"}, 403
return order.to_dict()
三、A02:密码与密钥泄露
风险描述:硬编码密码、弱密码、密钥泄露导致攻击者获取系统访问权限。
真实案例:某公司把数据库密码写在GitHub公共仓库,被扫描机器人发现后数据库被拖走。
防御方案:
- 使用密码管理器(如Vaultwarden/Bitwarden)管理密钥
- 所有密码长度不低于16位,包含特殊字符
- 使用bcrypt/argon2替代MD5/SHA1做密码哈希
- 启用多因素认证
四、A03:注入攻击
风险描述:SQL注入、命令注入、LDAP注入等,是最经典的Web攻击方式。
防御方案:
# SQL注入防御 —— 永远不要拼接SQL
// 错误做法
$sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
// 正确做法 —— 参数化查询
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$_POST['username']]);
# 命令注入防御
import subprocess
# 错误
os.system(f"ping {user_input}")
# 正确
subprocess.run(["ping", "-c", "3", sanitize_input(user_input)])
五、A04:不安全的设计
2026年新增类别。关注的是架构层面的安全缺陷,如缺失速率限制、密钥管理不当等。
威胁场景:登录接口没有做频率限制,攻击者可以暴力破解密码;文件上传接口没做类型校验,攻击者上传WebShell。
防御方案:
- 所有API接口实施速率限制
- 设计阶段进行威胁建模(STRIDE方法)
- 采用零信任架构
六、A05:安全配置错误
常见问题:默认密码未修改、调试模式未关闭、错误信息暴露堆栈、云存储桶权限配置不当。
# Nginx安全配置 server_tokens off; # 隐藏版本号 add_header X-Content-Type-Options nosniff; add_header X-Frame-Options DENY; add_header X-XSS-Protection "1; mode=block"; # 禁用目录列表 autoindex off;
七、A06-A10快速指南
- A06:易受攻击和过时的组件——定期使用SBOM管理依赖
- A07:身份认证失效——实施MFA和会话管理
- A08:数据完整性失效——签名验证和CI/CD安全
- A09:安全日志与监控不足——建立SIEM告警体系
- A10:服务端请求伪造(SSRF)——URL白名单和网络隔离
八、实战防御清单
- 所有外部输入做严格校验(长度、类型、格式)
- 输出时做HTML转义(XSS防御)
- 使用Content Security Policy(CSP)头
- HTTPS全站加密,HSTS头
- Web应用防火墙(WAF)前置
- 定期第三方安全扫描
- 建立漏洞响应流程
九、总结
Web安全不是某一个部门的责任,而是从架构设计到编码实现、从运维部署到安全监控的全链条工作。建议每个开发团队至少有一个安全负责人,定期做安全培训和代码审计。
原文链接:https://shibaolong.com/116/
更多安全技术文章请访问 月梦沉冰的安全博客