希賽小編為考生整理了2022年信息安全工程師考試知識點（三十七）：Web安全的需求分析與基本設計，希望對大家備考信息安全工程師考試會有幫助。

Web安全的需求分析與基本設計

【考法分析】

本知識點主要是對web安全需求分析與基本設計的考查。

【要點分析】

1．2013年版本的OWASP（開源Web應用安全項目） TOP10包括的十大最有可能發生的應用漏洞：① 注入攻擊：攻擊者通過在應用程序預先定義好的查詢語句結尾加上額外的查詢語句元素，欺騙數據庫服務器執行非授權的任意查詢；② 失效的身份認證和會話管理；③ 跨站腳本(XSS)：當用戶不小心單擊這樣帶有惡意代碼的鏈接時，其用戶信息就有可能被攻擊者盜取；④ 不安全的直接對象引用；⑤ 安全配置錯誤：許多設置的默認值并不是安全的；⑥ 敏感信息泄露；⑦ 功能級訪問控制缺失；⑧ 跨站請求偽造(CSRF)：一個跨站請求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請求，包括該用戶的會話cookie和其他認證信息，發送到一個存在漏洞的web應用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應用程序發送請求；⑨ 使用更含有已知漏洞的組件；⑩ 未驗證的重定向和轉發。

2．可以從以下幾個方面來避免漏洞攻擊：① 常使用自帶的安全的API；② 如果沒法使用一個參數化的API，那么你應該使用解釋器具體的escape語法來避免特殊字符；③ 加強對用戶輸入的驗證。

3．對于失效的身份認證和會話管理的防范，我們可以從以下方面來著手：① 一套單一的強大的認證和會話管理控制系統；② 區分公共區域和受限區域；③ 鎖定賬戶和禁用帳戶策略；④ 保護身份驗證Cookie；⑤ 口令、會話時限。

【備考點撥】

了解并理解相關知識點內容。