OWASP TOP 10
OWASP Open Web Application Security Project
官網:https://www.owasp.org/index.p...下載:https://www.owasp.org/index.p...:OWASP_Top_Ten_Project#tab=Main
OWASP(開放式Web應用程序安全項目)是一個501c3非盈利的全球性安全組織,致力于應用軟件的安全研究。使命是使應用軟件更加安全,使企業和組織能夠對應用安全風險做出更清晰的決策。
1. 注入 Injection
將不受信任的數據作為命令或查詢的一部分發送到解析器時,會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據。
產生原因:
- 用戶提供的數據沒有經過應用程序的驗證、過濾或凈化。
- 動態查詢語句或非參數化的調用,在沒有上下文感知轉義的情況下,被用于解釋器。
- 在ORM搜索參數中使用了惡意數據,這樣搜索就獲得包含敏感或未授權的數據。
- 惡意數據直接被使用或連接,諸如SQL語句或命令在動態查詢語句、命令或存儲過程中包含結構和惡意數據。
常見的注入:SQL、OS命令、ORM、LDAP和表達式語言(EL)或OGNL注入;
其他:所有參數、字段、頭、cookie、JSON和XML數據輸入
防御方法:
- 最佳選擇是使用安全的API接口,完全避免使用解釋器,或提供參數化界面的接口,或遷移到ORM或實體框架。
- 使用正確的或“白名單”的具有恰當規范化的輸入驗證方法同樣會有助于防止注入攻擊,但這不是一個完整的防御,因為許多應用程序在輸入中需要特殊字符,例如文本區域或移動應用程序的API。
- 對于任何剩余的動態查詢,可以使用該解釋器的特定轉義語法轉義特殊字符。OWASP的Java Encoder和類似的庫提供了這樣的轉義例程。
- 在查詢中使用LIMIT和其他SQL控件,以防止在SQL注入時大量地泄露記錄。
2. 失效的身份認證 Broken Authentication
通常,通過錯誤使用應用程序的身份認證和會話管理功能,攻擊者能夠破譯密碼、密鑰或會話令牌,或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。
產生原因:
- 允許憑證填充,這使得攻擊者獲得有效用戶名和密碼的列表。
- 允許暴力破解或其他自動攻擊。
- 允許默認的、弱的或眾所周知的密碼,例如“Password1”或“admin/admin”。
- 使用弱的或失效的驗證憑證,忘記密碼程序,例如“基于知識的答案”,這是不安全的。
- 使用明文、加密或弱散列密碼。
- 缺少或失效的多因素身份驗證。
- 暴露URL中的會話ID(例如URL重寫)。
- 在成功登錄后不會更新會話ID。
- 不正確地使會話ID失效。當用戶不活躍的時候,用戶會話或認證令牌(特別是單點登錄(SSO)令牌)沒有正確注銷或失效。
防御方法:
- 在可能的情況下,實現多因素身份驗證,以防止自動、憑證填充、暴力破解和被盜憑據再利用攻擊。
- 不要使用發送或部署默認的憑證,特別是管理員用戶。
- 執行弱密碼檢查,例如測試新或變更的密碼,以糾正“排名前10000個弱密碼” 列表。
- 將密碼長度、復雜性和循環策略與NIST-800-63 B的指導方針的5.1.1章節-記住秘密,或其他現代的基于證據的密碼策略相一致。
- 確認注冊、憑據恢復和API路徑,通過對所有輸出結果使用相同的消息,用以抵御賬戶枚舉攻擊。
- 限制或逐漸延遲失敗的登錄嘗試。記錄所有失敗信息并在憑據填充、暴力破解或其他攻擊被檢測時提醒管理員。
- 使用服務器端安全的內置會話管理器,在登錄后生成高度復雜的新隨機會話ID。會話ID不能在URL中,可以安全地存儲和當登出、閑置、絕對超時后使其失效。
3. 敏感數據泄露 Sensitive Data Exposure
許多Web應用程序和API都無法正確保護敏感數據,例如:財務數據、醫療數據和PII數據。攻擊者可以通過竊取或修改未加密的數據來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數據容易受到破壞,因此,我們需要對敏感數據加密,這些數據包括:傳輸過程中的數據、存儲的數據以及瀏覽器的交互數據。
產生原因:
- 在數據傳輸過程中是否使用明文傳輸?這和傳輸協議相關,如:HTTP、SMTP和FTP。外部網絡流量非常危險。驗證所有的內部通信,如:負載平衡器、Web服務器或后端系統之間的通信
- 當數據被長期存儲時,無論存儲在哪里,它們是否都被加密,包含備份數據?
- 無論默認條件還是源代碼中,是否還在使用任何舊的或脆弱的加密算法?
- 是否使用默認加密密鑰,生成或重復使用脆弱的加密密鑰,或者缺少恰當的密鑰管理或密鑰回轉?
- 是否強制加密敏感數據,例如:用戶代理(如:瀏覽器)指令和傳輸協議是否被加密?
- 用戶代理(如:應用程序、郵件客戶端)是否未驗證服務器端證書的有效性?
防御方法:
- 對系統處理、存儲或傳輸的數據分類,并根據分類進行訪問控制。
- 熟悉與敏感數據保護相關的法律和條例,并根據每項法規要求保護敏感數據。
- 對于沒必要存放的、重要的敏感數據,應當盡快清除,或者通過PCI DSS標記或攔截。未存儲的數據不能被竊取。
- 確保存儲的所有敏感數據被加密。
- 確保使用了最新的、強大的標準算法或密碼、參數、協議和密匙,并且密鑰管理到位。
- 確保傳輸過程中的數據被加密,如:使用TLS。確保數據加密被強制執行,如:使用HTTP嚴格安全傳輸協議(HSTS )。
- 禁止緩存對包含敏感數據的響應。
- 確保使用密碼專用算法存儲密碼,如:Argon2 、 scrypt 、bcrypt 或者PBKDF2 。將工作因素(延遲因素)設置在可接受范圍。
- 單獨驗證每個安全配置項的有效性。
4. XML外部實體 XML External Entities (XXE)
許多較早的或配置錯誤的XML處理器評估了XML文件中的外部實體引用。攻擊者可以利用外部實體竊取使用URI文件處理器的內部文件和共享文件、監聽內部掃描端口、執行遠程代碼和實施拒絕服務攻擊。
產生原因:
- 應用程序直接接受XML文件或者接受XML文件上傳,特別是來自不受信任源的文件,或者將不受信任的數據插入XML文件,并提交給XML處理器解析。
- 在應用程序或基于Web服務的SOAP中,所有XML處理器都啟用了文檔類型定義(DTDs)。因為禁用DTD進程的確切機制因處理器而不同。
- 如果為了實現安全性或單點登錄(SSO),您的應用程序使用SAML進行身份認證。而SAML使用XML進行身份確認,那么您的應用程序就容易受到XXE攻擊。
- 如果您的應用程序使用第1.2版之前的SOAP,并將XML實體傳遞到SOAP框架,那么它可能受到XXE攻擊。
- 存在XXE缺陷的應用程序更容易受到拒絕服務攻擊,包括:Billion Laughs 攻擊。
防御方法:
- 盡可能使用簡單的數據格式(如:JSON),避免對敏感數據進行序列化。
- 及時修復或更新應用程序或底層操作系統使用的所有XML處理器和庫。同時,通過依賴項檢測,將SOAP更新到1.2版本或更高版本。
- 參考《OWASP Cheat Sheet 'XXE Prevention'》,在應用程序的所有XML解析器中禁用XML外部實體和DTD進程。
- 在服務器端實施積極的(“白名單”)輸入驗證、過濾和清理,.以防止在XML文檔、標題或節點中出現惡意數據.
- 驗證XML或XSL文件上傳功能是否使用XSD驗證或其他類似驗證方法來驗證上傳的XML文件。
- 盡管在許多集成環境中,手動代碼審查是大型、復雜應用程序的最佳選擇,但是SAST 工具可以檢測源代碼中的XXE漏洞。
5. 失效的訪問控制 Broken Access Control
未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據,例如:訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問權限等。
產生原因:
- 通過修改 URL、內部應用程序狀態或 HTML 頁面繞過訪問控制檢查,或簡單地使用自定義的 API 攻擊工具。
- 允許將主鍵更改為其他用戶的記錄,例如查看或編輯他人的帳戶。
- 特權提升。在不登錄的情況下假扮用戶,或以用戶身份登錄時充當管理員。
- 元數據操作,如重放或篡改 JWT 訪問控制令牌,或作以提升權限的cookie 或隱藏字段。
- CORS配置錯誤允許未授權的API訪問。
- 以未通過身份驗證的用戶身份強制瀏覽的通過身份驗證時才能看到的頁面、或作為標準用戶訪問具有相關權限的頁面、或API沒有對POST、PUT和DELETE強制執行訪問控制。
防御方法:
- 除公有資源外,默認情況下拒絕訪問。
- 使用一次性的訪問控制機制,并在整個應用程序中不斷重用它們,包括最小化CORS使用。
- 建立訪問控制模型以強制執行所有權記錄,而不是接受用戶創建、讀取、更新或刪除的任何記錄。
- 域訪問控制對每個應用程序都是唯一的,但業務限制要求應由域模型強制執行。
- 禁用 Web服務器目錄列表,并確保文件元數據(如:git)不存在于 Web的根目錄中。
- 記錄失敗的訪問控制,并在適當時向管理員告警(如:重復故障)。
- 對API和控制器的訪問進行速率限制,以最大限度地降低自動化攻擊工具的危害。
- 當用戶注銷后,服務器上的JWT令牌應失效。
6. 安全配置錯誤 Security Misconfiguration
安全配置錯誤是最常見的安全問題,這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的 HTTP 標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此,我們不僅需要對所有的操作系統、框架、庫和應用程序進行安全配置,而且必須及時修補和升級它們。
產生原因:
- 應用程序棧堆的任何部分都缺少適當的安全加固,或者云服務的權限配置錯誤。
- 應用程序啟用或安裝了不必要的功能(例如:不必要的端口、服務、網頁、帳戶或權限)。
- 默認帳戶的密碼仍然可用且沒有更改。
- 錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。
- 對于更新的系統,禁用或不安全地配置最新的安全功能。
- 應用程序服務器、應用程序框架(如:Struts、Spring、ASP.NET)、庫文件、數據庫等沒有進行安全配置。
- 服務器不發送安全標頭或指令,或者未對服務器進行安全配置。
- 您的應用軟件已過期或易受攻擊(參見:使用含有已知漏洞的組件)。
防御方法:
- 一個可以快速且易于部署在另一個鎖定環境的可重復的加固過程。開發、質量保證和生產環境都應該進行相同配置,并且,在每個環境中使用不同的密碼。這個過程應該是自動化的,以盡量減少安裝一個新安全環境的耗費。
- 搭建最小化平臺,該平臺不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。
- 檢查和修復安全配置項來適應最新的安全說明、更新和補丁,并將其作為更新管理過程的一部分,(參見A9:2017-使用含有已知漏洞的組件)。在檢查過程中,應特別注意云存儲權限(如:S3桶權限)。
- 一個能在組件和用戶間提供有效的分離和安全性的分段應用程序架構,包括:分段、容器化和云安全組。
- 向客戶端發送安全指令,如:安全標頭。
- 在所有環境中能夠進行正確安全配置和設置的自動化過程。
7. 跨站腳本 Cross-Site Scripting (XSS)
當應用程序的新網頁中包含不受信任的、未經恰當驗證或轉義的數據時,或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時,就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本,并劫持用戶會話、破壞網站或將用戶重定向到惡意站點。
產生原因:
- 反射型 Reflected XSS:應用程序或API包括未經驗證和未經轉義的用戶輸入,作為HTML輸出的一部分。一個成功的攻擊可以讓攻擊者在受害者的瀏覽器中執行任意的HTML和JavaScript。 通常,用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進行交互,例如惡意漏洞網站,廣告或類似內容。
- 存儲型 Stored XSS:你的應用或者API將未凈化的用戶輸入存儲下來了,并在后期在其他用戶或者管理員的頁面展示出來。 存儲型XSS一般被認為是高危或嚴重的風險。
- DOM型 DOM XSS:會動態的將攻擊者可控的內容加入頁面的JavaScript框架、單頁面程序或API存在這種類型的漏洞。理想的來說,你應該避免將攻擊者可控的數據發送給不安全的JavaScript API。
典型的XSS攻擊可導致盜取session、賬戶、繞過MFA、DIV替換、對用戶瀏覽器的攻擊(例如:惡意軟件下載、鍵盤記錄)以及其他用戶側的攻擊。
防御方法:
- 使用設計上就會自動編碼來解決XSS問題的框架,如:Ruby 3.0或 React JS。了解每個框架的XSS保護的局限性,并適當地處理未覆蓋的用例。
- 為了避免反射式或存儲式的XSS漏洞,最好的辦法是根據HTML輸出的上下文(包括:主體、屬性、JavaScript、CSS或URL)對所有不可信的HTTP請求數據進行恰當的轉義 。更多關于數據轉義技術的信息見:《OWASP Cheat Sheet 'XSS Prevention'》。
- 在客戶端修改瀏覽器文檔時,為了避免DOM XSS攻擊,最好的選擇是實施上下文敏感數據編碼。如果這種情況不能避免,可以采用《OWASP Cheat Sheet 'DOM based XSS Prevention'》描述的類似上下文敏感的轉義技術應用于瀏覽器API。
- 使用 內容安全策略(CSP)是對抗XSS的深度防御策略。如果不存在可以通過本地文件放置惡意代碼的其他漏洞(例如:路徑遍歷覆蓋和允許在網絡中傳輸的易受攻擊的庫),則該策略是有效的。
8. 不安全的反序列化 Insecure Deserialization
不安全的反序列化會導致遠程代碼執行。即使反序列化缺陷不會導致遠程代碼執行,攻擊者也可以利用它們來執行攻擊,包括:重播攻擊、注入攻擊和特權升級攻擊。
產生原因:
這可能導致兩種主要類型的攻擊:
- 如果應用中存在可以在反序列化過程中或者之后被改變行為的類,則攻擊者可以通過改變應用邏輯或者實現遠程代碼執行攻擊。我們將其稱為對象和數據結構攻擊。
- 典型的數據篡改攻擊,如訪問控制相關的攻擊,其中使用了現有的數據結構,但內容發生了變化。
在應用程序中,序列化可能被用于:
- 遠程和進程間通信(RPC / IPC)
- 連線協議、Web服務、消息代理
- 緩存/持久性
- 數據庫、緩存服務器、文件系統
- HTTP cookie、HTML表單參數、API身份驗證令牌
防御方法:
唯一安全的架構模式是不接受來自不受信源的序列化對象,或使用只允許原始數據類型的序列化媒體。
如果上述不可能的話,考慮使用下述方法:
- 執行完整性檢查,如:任何序列化對象的數字簽名,以防止惡意對象創建或數據篡改。
- 在創建對象之前強制執行嚴格的類型約束,因為代碼通常被期望成一組可定義的類。繞過這種技術的方法已經被證明,所以完全依賴于它是不可取的。
- 如果可能,隔離運行那些在低特權環境中反序列化的代碼。
- 記錄反序列化的例外情況和失敗信息,如:傳入的類型不是預期的類型,或者反序列處理引發的例外情況。
- 限制或監視來自于容器或服務器傳入和傳出的反序列化網絡連接。
- 監控反序列化,當用戶持續進行反序列化時,對用戶進行警告。
9. 使用含有已知漏洞的組件 Using Components with KnownVulnerabilities
組件(例如:庫、框架和其他軟件模塊)擁有和應用程序相同的權限。如果應用程序中含有已知漏洞的組件被攻擊者利用,可能會造成嚴重的數據丟失或服務器接管。同時,使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。
產生原因:
- 如果你不知道所有使用的組件版本信息(包括:服務端和客戶端)。這包括了直接使用的組件或其依賴的組件。
- 如果軟件易受攻擊,不再支持或者過時。這包括:OS、Web服務器、應用程序服務器、數據庫管理系統(DBMS)、應用程序、API和所有的組件、運行環境和庫。
- 如果你不會定期做漏洞掃描和訂閱你使用組件的安全公告。
- 如果你不基于風險并及時修復或升級底層平臺、框架和依賴庫。很可能發生這種情況:根據變更控制,每月或每季度進行升級,這使得組織在這段時間內會受到已修復但未修補的漏洞的威脅。
- 如果軟件工程師沒有對更新的、升級的或打過補丁的組件進行兼容性測試。
- 如果你沒有對組件進行安全配置(請參考:安全配置錯誤)。
防御方法:
- 移除不使用的依賴、不需要的功能、組件、文件和文檔。
- 利用如versions、DependencyCheck、retire.js等工具來持續的記錄客戶端和服務器端以及它們的依賴庫的版本信息。持續監控如 CVE 和 NVD 等是否發布已使用組件的漏洞信息,可以使用軟件分析工具來自動完成此功能。訂閱關于使用組件安全漏洞的警告郵件。
- 僅從官方渠道安全的獲取組件,并使用簽名機制來降低組件被篡改或加入惡意漏洞的風險。
- 監控那些不再維護或者不發布安全補丁的庫和組件。如果不能打補丁,可以考慮部署虛擬補丁來監控、檢測或保護。
10. 不足的日志記錄和監控 Insufficient Logging & Monitoring
不足的日志記錄和監控,以及事件響應缺失或無效的集成,使攻擊者能夠進一步攻擊系統、保持持續性或轉向更多系統,以及篡改、提取或銷毀數據。大多數缺陷研究顯示,缺陷被檢測出的時間超過200天,且通常通過外部檢測方檢測,而不是通過內部流程或監控檢測
產生原因:
- 未記錄可審計性事件,如:登錄、登錄失敗和高額交易。
- 告警和錯誤事件未能產生或產生不足的和不清晰的日志信息。
- 沒有利用應用系統和API的日志信息來監控可疑活動。
- 日志信息僅在本地存儲。
- 沒有定義合理的告警閾值和制定響應處理流程。
- 滲透測試和使用DAST工具(如:OWASP ZAP)掃描沒有觸發告警。
- 對于實時或準實時的攻擊,應用程序無法檢測、處理和告警。
防御方法:
- 確保所有登錄、訪問控制失敗、輸入驗證失敗能夠被記錄到日志中去,并保留足夠的用戶上下文信息,以識別可疑或惡意帳戶,并為后期取證預留足夠時間。
- 確保日志以一種能被集中日志管理解決方案使用的形式生成。
- 確保高額交易有完整性控制的審計信息,以防止篡改或刪除,例如審計信息保存在只能進行記錄增加的數據庫表中。
- 建立有效的監控和告警機制,使可疑活動在可接受的時間內被發現和應對。
- 建立或采取一個應急響應機制和恢復計劃,例如:NIST 800-61 rev 2 或更新版本。
TOP 10 風險因素總結
其它值得關注的漏洞
- CWE-352: 跨站點請求偽造(CSRF)
- CWE-400: 不受控制的資源消耗 (“資源枯竭”、“App拒絕服務” )
- CWE-434: 無限制上傳危險類型文件
- CWE-451: 用戶界面(UI)對關鍵信息的誤傳(點擊劫持和其他)
- CWE-601: 未經驗證的轉發和重定向
- CWE-799: 交互頻率控制不當(反自動化)
- CWE-829:不可信控制域包含功能性(第三方內容)
- CWE-918: 服務器端請求偽造(SSRF)
本文摘自官網文檔,詳情可到官網查看。
總結
以上是生活随笔為你收集整理的OWASP TOP 10的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 基于可靠消息方案的分布式事务(四):接入
- 下一篇: 【星云测试】开发者测试-采用精准测试工具