OWASP TOP 10 - 2017 Part 1
今天,我们来一起回顾下 2017年 OWASP TOP 10 安全风险报告 的主要内容,了解 2013 到 2017 全球安全风险发现了哪些变化?有哪些新兴风险类型?本文大部分内容翻译自 报告原文 ,如需阅读详情,请自行浏览访问 ~
OWASP 简介
OWASP (Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
OWASP Top 10 - 2017
提要
- 更新: 2017 Top 10 主要更新在于添加了若干个新的问题,其中有两个是由社区中选出的 —— A8:2017-不安全反序列化 和 A10:2017-不充分的登陆和监控
- 来源: OWASP Top 10 - 2017 主要基于超过 40 个来自专注应用安全领域的公司和一份超过500人的行业调查报告得出。数据横跨成百上千的组织机构收集的漏洞和超过 100,000 真实应用和 APIs
- 编撰目的: 向开发者、设计师、架构师、经理和组织机构传播关于最常见和最重要网络应用安全风险的后果;同时提供一些基础技术指导 —— 保护这些高风险区域,提供现在开始着手处理的指南
- 风险确定: OWASP Top 10 聚焦于识别对广泛范围内的公司来说最严重的网络应用安全风险。对于每个风险,OWASP 都会使用简单评分模式,提供相关性和技术影响的基本信息
什么是应用安全风险
攻击者们会通过你的应用使用多种潜在路径损害你的生意或组织。每条路径代表一个也许会或不会严重到引起注意的风险。
- Threat Agents ——威胁来源
- Attack Vectors —— 攻击载体
- Security Weakness —— 安全薄弱点
- Security Controls —— 安全控制
- Technical Impacts —— 技术影响
- Business Impacts —— 商业影响
有时这些路径很容易找到和利用,有时候它们又极其困难。类似的,这种损害也许没造成实质结果,也可能让你破产。为了得到组织的风险情况,我们可以评估每个威胁来源、攻击载体等之间的相似性,并将它们和对你所在组织造成的技术、商业影响估值合并。这样,我们可以最终确定总体风险。
Top 10 安全风险内容
| Top N | 介绍 |
|---|---|
| A1: 2017-Injection(注入攻击) | 注入攻击发生在不可信数据作为一条命令或查询的解析器被发送时,例如: SQL 、NoSQL、OS 和 LDAP 注入。攻击者的恶意数据可以迷惑解析器以执行非预设的命令或没有正确验证情况获取数据 |
| A2: 2017-Broken Authentication(验证破坏) | 认证和会话管理方面的应用功能经常得不到合规开发,这使得攻击者可以窃取密码、密钥或会话,又或者挖掘其他开发缺陷,暂时或永久地假设其他用户身份。 |
| A3: 2017-Sensitive Data Exposure(敏感数据暴漏) | 许多网页应用程序和 API 没有妥善地保护敏感数据 (e.g. 金融数据、医疗数据和 PII)。攻击者可以窃取或修改这些弱保护的数据,然后实施信用卡欺诈、身份窃取或进行其他犯罪行为。敏感数据没有得到额外措施保护情况 (e.g. 在存储或传输过程中加密、与浏览器交互时格外小心等),可能会被窃取 |
| A4: 2017-XML External Entities (XXE)(XML 外部实体) | 很多老旧配置的 XML 处理器在 XML 文档内评估外部实体参考。外部实体可以通过使用文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和服务访问拒绝攻击的方式纰漏内部文件 |
| A5: 2017-Broken Access Control(失效的访问控制) | 对于认证用户行为权限的限制经常得不到完整的实施。攻击者可以挖掘这些缺陷去获得非授权的功能和 (或) 数据,例如访问其他用户账号、查看敏感文件、修改其他用户数据,更改访问权限等等 |
| A6: 2017-Security Misconfiguration(不安全的组态配置) | 安全配置不当是最常见的问题。这通常是由于不安全的默认设置、不完整或临时的配置,开放云存储,HTTP 头部错误配置和包含敏感信息的强制报告信息造成的。不仅所有操作系统、框架、库、应用程序需要安全配置,而且必须及时的打补丁和升级。 |
| A7: 2017-Cross-Site Scripting (XSS)(跨站点脚本攻击) | XSS 缺陷发生情景: ① 应用程序在没有经过验证或溢出式在新网页加载非可信数据 ② 通过可以生成 HTML 或 JavaScript 代码的浏览器 API,应用程序使用用户数据更新网页时。XSS 使得攻击者可以在受害者的浏览器执行脚本,造成会话劫持、破坏网站或引导用户访问恶意网站。 |
| A8: 2017-Insecure Deserialization(不安全反序列化) | 不安全反序列化经常造成远程代码运行。有时尽管反序列化缺陷没有导致远程代码运行,但它们可以用于执行各种攻击,例如: 重播攻击、注入攻击和权限提升攻击。 |
| A9: 2017-Using Components with Known Vulnerabilities(使用组件已知的漏洞) | 各种组件 (例如: 库、框架和其他软件模块) 运行时与应用程序权限相同。如此一来,如果一个脆弱的组件被利用,这个攻击可以最终造成严重数据丢失或服务器被接管。使用已知漏洞组件的应用程序和 API 可能会降低应用的防范能力,造成各种各样的攻击和影响。 |
| A10: 2017-Insufficient Logging & Monitoring(不足的日志记录和监测) | 当不充分的日志和监测与遗漏的或无效的事件响应凑在一起,攻击者就可以发动更深层次的系统攻击、保持持久性、转移攻击到更多的系统,并且篡改、窃取甚至破坏数据。大部分 breach 研究表明——检测到 breach 需要超过 200 天时间,而且通常还是外部机构检测出来而非内部处理或监测。 |
推荐阅读
总结
本篇我们介绍了OWASP组织、应用安全威胁相关内容、Top 10 风险内容,下次将会介绍 Top 10 安全威胁的常见攻击场景以及防范措施等内容,敬请期待 (☆▽☆)
未完待续….
OWASP TOP 10 - 2017 Part 1
https://github.com/zhililab/2018/04/13/OWASP-Top10-2017/