素材巴巴 > 程序开发 >

OWASP top10(2013-2021)

程序开发 2023-09-14 10:29:39

OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。

OWASP TOP 10,这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞,同时也会对其进行详细的分析威胁所在。


2013-2017,应用程序的基础技术和结构发生了重大变化

 • 使用node.js和Spring Boot构建的微服务正在取代传统的单任务应用,微服务本身具有自己的安全挑战,包括微服务间互信、容器工具、保密管理等等。原来没人期望代码要实现基于互联网的房屋,而现在这些代码就在API或RESTful服务的后面,提供给移动应用或单页应用(SPA)的大量使用。代码构建时的假设,如受信任的调用等等,再也不存在了。

• 使用JavaScript 框架(如: Angular 和 React )编写的单页应用程序,允许创建高度模块化的前端用户体验;原来交付服务器端处理的功能现在变为由客户端处理,但也带来了安全挑战。 • JavaScript成为网页上最基本的语言。 Node.js 运行在服务器端,采用现代网页框架的 Bootstrap 、 Electron 、 Angular 和 React 则运行在客户端。 新增加的风险类型 • A4:2017 XML外部实体(XXE),是一个主要由源代码分析安全测试工具数据集支撑的新类型。 • A8:2017-不安全的反序列化,允许在受影响的平台上远程执行代码或操纵敏感对象。 • A10:2017-不足的日志记录和监控,缺乏可以防止或明显延迟恶意活动和破坏安全检测、事件响应和数字取证的安全措施。 落榜但仍未忘记的风险类型 • “A4不安全的直接对象引用”和“A7功能级访问控制缺失”合并成为“A5:2017 失效的访问控制”。 • “A8 CSRF”。因为很多平台融入了CSRF防御,所以只有5%的应用程序受到了威胁。 • “A10未验证的重定向和转发”。虽然大约8%的应用程序受此威胁,但是现在大多被XML外部实体(XXE)挤掉了。

2017-2021

 A01(失效的访问控制):从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹配为“失效的访问控制”的CWE次数比任何其他类别都多。

A02(加密机制失效):排名上升一位。其以前被称为“A3:2017-敏感信息泄漏”。敏感信息泄漏是常见的症状,而非根本原因。更新后的名称侧重于与密码学相关的风险,即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻破。

A03(注入):排名上升一位。其以前被称为“A3:2017-敏感信息泄漏”。敏感信息泄漏是常见的症状,而非根本原因.更新后的名称侧重于与密码学相关的风险,即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻破。

A04(不安全设计):2021年版的一个新类别,其重点关注与设计缺陷相关的风险。如果我们真的想让整个行业“安全左移” ,我们需要更多的威胁建模、安全设计模式和原则,以及参考架构。不安全设计是无法通过完美的编码来修复的;因为根据定义,所需的安全控制从来没有被创建出来以抵御特定的安全攻击。

A05(安全配置错误):排名上升一位。90%的应用程序都进行了某种形式的配置错误测试,平均发生率为4.5%,超过20.8万次的CWE匹配到此风险类别。随着可高度配置的软件越来越多 ,这一类别 的风险也开始上升 .原 “A04:2017-XML External Entities(XXE) XML外部实体”在2021年版中被纳入此风险类别。

A06(自带缺陷和过时的组件):排名上升三位。在社区调查中排名第2。同时,通过数据分析也有足够的数据进入前10名,是我们难以测试和评估风险的已知问题。它是唯一一个没有发生CVE漏洞的风险类别。因此,默认此类别的利用和影响权重值为5.0。原类别命名为“A09:2017-Using Components with Known Vulnerabilities 使用含有已知漏洞的组件”。

A07(身份识别和身份验证错误):排名下滑五位。原标题“A02:2017-Broken Authentication失效的身 份认证”。现在包括了更多与识别错误相关的CWE。这个类别仍然是Top 10的组成部分,但随着标准化框架使用的增加,此类风险有减少的趋势。

A08(软件和数据完整性故障):2021年版的一个新类别,其重点是:在没有验证完整性的情况下做出 与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹配的CWE类别,并且拥有最高的平均加权影响值。原“A08:2017-Insecure Deserialization不安全的反序列化”现在是本大类的一部分。 A09(安全日志和监控故障):排名上升一位。原名为“A10:2017-Insufficient Logging & Monitoring 不足的日志记录和监控”。此类别现扩大范围,包括了更多类型的、难以测试的故障。此类别在 CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响可见性、事件告警和取证。 A10(服务端请求伪造): 2021年版的一个新类别,来源于社区调查(排名第1)。数据显示发生率相对较低,测试覆盖率高于平均水平,并且利用和影响潜力的评级高于平均水平。

标签:

素材巴巴 Copyright © 2013-2021 http://www.sucaibaba.com/. Some Rights Reserved. 备案号:备案中。