OWASP TOP 10-2021年十大Web应用安全风险榜单
OWASP(Open Web Application Security Project)是一個開源的、非盈利的全球性安全組織。
OWASP不定期發布關于web應用的十大威脅安全報告(OWASP Top 10),會在經過安全專家的測驗之后確定十大類對當前web應用威脅最大和被應用最廣的漏洞,同時也會對其進行詳細的分析威脅所在。美國聯邦貿易委員會(FTC)強烈建議所有的企業都需要遵守以保證信息安全。
2021年前10名發生的變化
有三個新類別,四個類別的命名和范圍發生了變化,并在 2021 年的前 10 名中進行了一些合并。
合并:注入與xss合并為注入;xxe與安全配置錯誤合并為安全配置錯誤;
新增:04-不安全設計、08-軟件和數據完整性故障;
A01:2021-Broken Access Control
失效的訪問控制
從第五位上升到Web應用程序安全風險最嚴重的類別;提供的數據表明,超過94%的app都經歷過某種形式的越權訪問控制測試。對應到失效的訪問控制有34個CWE,比任何其它類型在應用中出現的次數都多。
風險描述
攻擊者可通過修改URL,HTML頁面繞過訪問控制檢查;或目錄遍歷,目錄爬升和回溯進行未授權訪問;越權訪問(垂直越權、平行越權)敏感資源,冒充用戶、管理員或擁有特權的用戶,或者創建、訪問、更新或刪除任何記錄。
對業務的影響取決于應用程序和數據的保護需求。
加固建議
除了公共資源外,默認禁止訪問;
確保以盡可能少的方式提供給用戶、程序或進程訪問權限;
禁止列出WEB服務器目錄,確保元數據和備份文件不在根目錄;
限制訪問API的頻率,使自動化掃描攻擊工具的損害最小化;
token應該在登出后立刻失效;
加強引用參數的封裝、加密;
記錄所有的訪問控制事件;
A02:2021-Cryptographic Failures
加密失敗
上移一位至第2位,以前稱為敏感數據暴露(A3:2017-Sensitive Data Exposure),這是廣泛的癥狀而非根本原因。更新后的名稱側重于與密碼學相關的缺陷。此類別通常會導致敏感數據暴露或系統受損。
風險描述
由于使用弱加密、未加密、過時的哈希函數(例如 MD5 或 SHA1)、默認加密密鑰或重復使用弱加密密鑰、缺少二次身份校驗,而導致系統泄露敏感信息,造成損失。
加固建議
使用隨機加密;
避免使用不安全的加密算法;
始終使用二次身份驗證,而不是只進行加密;
使用安全協議傳輸數據;
A03:2021-Injection
注入
下滑到第三位。94%的應用程序針對某種形式的注入進行了測試,最大發生率為19%,平均發生率為3.37%,映射到CWE有33個,在應用程序中出現次數排列第二。跨站點腳本攻擊(xss)現在屬于此類別的一部分。
風險描述
惡意攻擊者可通過SQL注入漏洞構造SQL注入語句,對服務器端返回特定的錯誤信息來獲取有利用價值的信息,甚至可篡改數據庫中的內容并進行提權。
加固建議
對產生漏洞模塊的傳入參數進行有效性檢測,對傳入的參數進行限定;
當用戶輸入限定字符時,立刻轉向自定義的錯誤頁,不能使用服務器默認的錯誤輸出方式;
對標簽進行危險字符過濾或轉義,禁止(’、"、+、%、&、<>、()、;、and、select等)特殊字符的傳入;
加密數據庫內存儲信息;
與數據庫鏈接并訪問數據時,使用參數化查詢方式進行鏈接訪問。
A04:2021-Insecure Design
不安全設計
是2021年的一個新類別,重點關注與設計缺陷相關的風險。如果我們真的想作為一個行業發展,我們需要更多的威脅建模、安全設計模式和原則以及參考架構。不安全設計不能實現完美修復,因為根據定義,無法創建對應的安全控制來防御特定的攻擊。
風險描述
由于開發過程中的設計缺陷,可能導致注入、文件上傳等漏洞被利用;
加固建議
建立并使用安全設計庫或安全組件;
分離系統層和網絡層;
將威脅建模用于關鍵身份驗證、訪問控制、業務邏輯和關鍵數據流;
A05:2021-Security Misconfiguration
安全配置錯誤
從上一版的第6位上升;90%的應用程序都針對某種形式的錯誤配置進行了測試,平均發生率為4.5%,超過208,000次CWE映射到此風險類別。隨著更多轉向高度可配置的軟件,看到這一類別上升也就不足為奇了。XXE(A4:2017-XML外部實體)的前一個類別現在屬于此風險類別。
風險描述
在應用棧中任意一處沒有安全加固,云服務器授權沒有正確配置;
非必要的特性被啟用或安裝;
使用默認賬戶和密碼;
異常報錯拋出堆棧,或其他包含信息過多的錯誤消息被泄露給了用戶;
可升級的系統中最新的安全特性沒有被啟用或正確配置;
應用服務器、應用框架、數據庫中的安全設置沒有被設為安全值;
服務器沒有發送安全頭或指令,或是沒有被正確設置;
預防方法
使用可重復的加固程序,但使用不同的憑據;
最小化原則。系統不包含任何非必須的特性,組件,文檔,刪除或不安裝未使用的功能和框架;
通過分段、容器化或云安全組 (ACL) 在組件或用戶之間提供有效且安全的分離;
向客戶端發送安全指令;
使用自動化進程以驗證所有環境中配置的有效性;
A06:2021-Vulnerable and Outdated Components
脆弱和過時的組件
之前的標題是使用已知漏洞的組件(A09:2017-Using Components with Known Vulnerabilities),在top10社區調查中排名第二,并有足夠的數據通過數據分析進入top10。該類別從2017年的第9位上升,是一個難以測試和評估風險的已知問題。這是唯一沒有任何常見漏洞和CVE可以對應到已歸結CWE的主題。因此以默認的利用和影響權重5.0計入其評分。
風險描述
管理員不知道使用的所有組件的版本,無法及時了解到組件的安全狀況;
使用易受攻擊的,不再支持,或是過時的組件。包括OS, web服務器,DBMS,APIs和所有組件,運行環境、庫。
沒有周期性掃描漏洞,沒有關注所使用組件的安全公告;
沒有及時修復或升級平臺,框架,依賴;
軟件開發者沒有測試升級,更新,補丁的兼容性.
預防方法
刪除不再使用的依賴,不必須的功能,組件,文件,文檔;
持續記錄當前用的組件和依賴的版本。持續關注CVE, NVD上的關于對應組件的漏洞,訂閱關于所使用組件的郵件通知。
僅通過安全鏈接,從官方來源獲取組件。
關注不再維護的庫和組件,如果無法打補丁,考慮部署虛擬補丁。
A07:2021-Identification and Authentication Failures
身份驗證與認證失敗
以前是錯誤認證(A2:2017-Broken Authentication),從第2位下滑至第7位,現在包括與識別失敗更多相關的 CWE。有標準化框架可用性增加的幫助,這個類別仍然是top10的一個組成部分。
風險描述
允許自動化的攻擊,如憑據填充(credential stuffing,撞庫)攻擊。
允許爆破等攻擊;
允許默認口令,弱密碼;
使用弱或無效的憑據,恢復和忘記密碼找回;
使用明文,加密或弱hash的密碼;
使用損壞的或無效的多因子認證;
在URL中暴露會話ID;
在成功登錄后沒有輪換會話ID;
沒有及時把會話ID,驗證令牌等信息無效化。
預防方法
避免使用默認密碼;
進行弱密碼檢查;
確保注冊,憑據恢復和API加固以抵御賬戶枚舉攻擊;
限制或延遲失敗的登錄嘗試,并記錄所有失敗嘗試并在發動攻擊時報警;
使用服務端內置的會話管理,確保對于每次登錄生成隨機會話ID。會話ID不應該在URL中,且應該及時銷毀
A08:2021-Software and Data Integrity Failures
軟件和數據完整性故障
是 2021 年的一個新類別,著眼于在不驗證完整性的情況下,做出與軟件更新、關鍵數據和 CI/CD(持續集成/持續部署)管道相關的假設。CVE/CVSS(常見漏洞和暴露/常見漏洞評分系統)數據的最高加權影響之一可以對應、到此類別中的10個CWE。A8:2017-不安全的反序列化現在是這個類別的一部分。
風險描述
應用程序依賴來自于不受信任的來源;
不安全的 CI/CD 管道可能會導致未經授權的訪問、惡意代碼或系統受損;
應用程序更新在沒有充分完整性驗證的情況下被下載并應用于以前受信任的應用程序;
攻擊者可能會上傳自己的更新以分發并在所有安裝上運行;
對象或數據被編碼或序列化為攻擊者可以看到和修改的結構,容易受到不安全的反序列化。
加固建議
使用數字簽名或類似機制來驗證軟件或數據來自預期來源且未被更改;
確保使用安全工具驗證組件不包含已知漏洞;
確保未簽名或未加密的序列化數據不會在沒有檢查或數字簽名的情況下發送到不受信任的客戶端;
A09:2021-SecurityLogging and Monitoring Failures
安全日志和監控失敗
之前是日志記錄和監控不足(A10:2017-Insufficient Logging & Monitoring),是從TOP10社區調查(#3)中添加,從之前的#1上升。此類別已擴展成為一個包括更多故障類型的主題,難以測試,并且在CVE/CVSS數據中沒有得到很好的體現。但是,此類故障會直接影響可見(visibility)、事件警報(incident alerting)和取證(forensics)的準確性。
風險描述
審計日志記錄不足,無法有效定位到操作者;
警告和錯誤日志記錄不全面、不清晰;
應用和API關于可疑事件的日志沒有被監管;
日志無備份,僅本地保存;
日志留存時間較短;
攻擊事件未實時監測或未觸發告警;
預防方法
確保登錄、訪問控制,服務器驗證失敗和成功等事件均會被日志記錄,同時記錄足夠多的操作以確定可疑賬號與可疑行為。
保存足夠長時間的日志(至少留存6個月)便于分析。
確保日志的格式,便于閱讀與管理。
對日志進行備份存儲;
建立有效的監管和報警機制,使得可疑活動能被及時檢測和處置。
A10:2021-Server-Side Request Forgery(SSRF)
服務器端請求偽造
直接從Top 10 社區調查 (#1)添加。數據顯示,在覆蓋率高于平均水平的測試里,該類別發生率相對較低,但利用和潛在影響都高于平均水平。這也正表示了行業專業人士在告訴我們,就算目前數據中沒有顯示出來,服務器請求偽造還是很重要的事實。
風險描述
服務端提供了從其他服務器應用獲取數據的功能,且沒有對目標地址做過濾與限制
加固建議
驗證所有客戶端提供的數據;
使用白名單強制執行 URL 架構、端口和目標;
不向客戶端發送原始響應;
禁用 HTTP 重定向;
URL一致性,避免 DNS 重新綁定和“檢查時間、使用時間”(TOCTOU) 競爭條件等攻擊。
OWASP Top Ten
總結
以上是生活随笔為你收集整理的OWASP TOP 10-2021年十大Web应用安全风险榜单的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【SpringBoot】63、Sprin
- 下一篇: overscroll-behavior