2021 OWASP Top10 有什么新变化?

语言: CN / TW / HK

著名的 10 大 Web 应用程序漏洞列表自 2017 年以来首次更新。让我们看看最令人惊讶的变化是什么。

介绍

OWASP 代表开放 Web 应用程序安全项目,它是一个在线社区,可创建有关保护 Web 应用程序的免费内容。他们最著名的项目之一是 OWASP 前 10 名,这是他们通过研究发现的前 10 个 Web 应用程序漏洞的列表。最近 OWASP 对他们的网站以及 OWASP 前 10 名网站进行了改造。他们发现我们在 3-5 年后最普遍的漏洞不再是开发人员最大的安全问题。在本文中,我们将回顾OWASP Top 10 中的变化以及迄今为止最大的安全漏洞:

2017-2021

1. 被破坏的访问控制

根据 OWASP 前 10 名,以前排名第 5 位的访问控制失效现在是最严重的安全风险。访问控制是一种强制执行策略的机制,使用户无法执行超出其预期权限的操作。在他们的测试中,OWASP 测试了他们数据集中的应用程序是否存在某种形式的访问控制损坏以及其他安全漏洞。在他们的结果中,他们发现访问控制失效是最常见的漏洞,在测试的应用程序中出现了超过 318,000 次。这表明许多应用程序具有某种形式的破坏访问控制,允许用户执行他们不打算执行的操作。

2. 加密失败

以前称为敏感数据暴露, 现在上升为第三位并改名为加密失败。作者认为这种名称是“广泛的症状而不是根本原因”。它暗指敏感信息(如信用卡号、密码、健康记录或个人信息)未受加密保护并最终暴露的情况。

我们发现敏感信息的概念具有局限性,因为它没有考虑作为机密的敏感数据的编程类型。硬编码的密钥(API 密钥、凭据)实际上是公开的。我们同意这是根本原因的症状,实际上这不是加密失败本身,而是适当的秘密管理失败。

GitGuardian 的研究发现,许多公司机密被暴露,因此允许访问 OWASP 定义的敏感数据。我们认为应该提出一个更广泛的类别,包括暴露的两个根本原因。也许在下一版的 OWASP Top 10 中会详尽列出!

3. 注入攻击

这原本是名单上的第一名,但已被移至第三位。这是指基于注入的攻击,例如跨站点脚本、SQL 注入和 NoSQL 注入。这是应用程序接受未过滤或过滤不当的用户输入的直接结果。它在 OWASP 应用程序测试中出现次数第二多,出现 274,000 次。

4. 不安全的设计

这是指导致不同类型安全漏洞的应用程序设计缺陷。这与“设计安全”的原则完全相反。这里有一个重要的原则需要澄清,要理解这并不是 OWASP 前 10 名中所有其他弱点的根源。此列表中的其他 9 个漏洞都可能是安全设计不当的结果,这意味着您试图实施安全控制,但是无效的。相比之下,不安全的设计意味着在应用程序设计过程中没有设置安全控制,存在 “缺失或无效的安全控制设计”

5. 安全配置错误

这从上次列表中的第 6 位上升到此列表中的第 5 位。这归因于越来越多的软件变得高度可配置,这意味着在应用程序、解决方案或服务中发生配置错误的机会更多。错误配置的一些示例可能是启用或安装了不必要的功能、使用了默认帐户和密码,或者对帐户启用了不正确的权限。

6. 易受攻击和过时的组件

以前使用具有已知漏洞的组件命名,这是指使用具有已知漏洞的东西。这可能来自使用需要修补的旧版本软件,使用具有安全漏洞的第三方代码库,也可能是支持设备,例如具有安全漏洞的 Web 服务器操作系统、数据库管理系统或运行时环境。

7. 身份验证失败

这以前称为损坏的身份验证,并且在此列表的最后一次迭代中从第 2 位开始下降。这意味着攻击者可以绕过身份验证检查以破坏用户帐户或用户会话事件降低。一些常见示例包括弱密码、允许暴力攻击以及缺少或无效的多因素身份验证。不过过去 5 年普遍使用开源库或框架来处理此类敏感操作可以解释这一问题出现逐渐降低。

8. 软件和数据完整性故障

要理解这一点,您首先需要了解数据完整性,这是您验证项目未从其安全状态发生更改的能力。例如,考虑通过电子邮件发送的计算机文件。您如何知道该文件在传输过程中是否已经被篡改,这样做的方法是使用文件散列,它允许您比较数据是否已从其原始状态更改为不可控状态。

软件和数据完整性失败是指您无法确认您使用的软件或数据依赖项是否未被恶意更改。例如,某些应用程序具有自动更新功能,如果您的软件程序在未验证软件未被更改的情况下从源下载更新,您就有下载恶意软件的风险。

9. 安全日志和监控故障

上移一位是不当的日志记录和监控功能。因为未能正确记录事件或生成警报是安全日志记录和监控失败的标志,所以正确的日志记录和监控对于检测、升级和响应主动违规检查非常重要。

10. 服务器端请求伪造

这排在第 10 位,根据 OWASP,因为这只是社区投票的内容,所以该漏洞没有数据支持,尽管目前数据不支持。当 Web 应用程序在未验证用户提供的 URL 的情况下获取资源时,就会出现此缺陷。它允许攻击者让应用程序将精心设计的请求发送到意外的目的地,而不管防火墙、VPN 或网络访问控制列表如何。

总结

OWASP top 10是识别应用程序中潜在安全漏洞的好方法。总体而言,在web应用程序安全方面,OWASP项目因其工作内容而享有盛誉,它应该是您的主要漏洞发现资源之一。

原文:https://blog.gitguardian.com/whats-new-in-the-2021-owasp-top10/

推荐

TeamTNT黑客组织以Kubernetes为目标,近50000个IP被攻击

为什么云中的容器可以成为攻击者的天堂

原创不易,随手关注或者”在看“,诚挚感谢!