最新OWASP Top 10安全风险揭露
近期,OWASP正式发布了2021年的草案,全新的OWASP Top 10安全风险列表已经出炉。此次更新,不仅新增了三个类别,还对四个类别的命名和范围进行了调整,并对部分top10的分类进行了合并。
值得注意的是,“失效的访问控制”从2017年的第五位跃居至榜首,反映出在应用软件安全风险中的突出地位。这一漏洞表现为未对通过身份验证的用户实施恰当的访问控制,使攻击者能轻易访问未经授权的功能或数据。
OWASP(开放式Web应用程序安全项目)是一个非营利,自2003年首次发布“Top 10”以来,该列表就成为了Web应用程序安全领域的风向标。
OWASP Top 10一直致力于总结Web应用程序中最常见、最危险的安全漏洞。这些漏洞,作为最容易利用的点,也成为了开发、测试及相关技术人员必须掌握的知识。
了解并掌握OWASP Top 10中的安全风险,对于保护Web应用程序免受攻击至关重要。
除了核心的OWASP Top 10外,OWASP还关注其他如容器安全、隐私风险、API安全等多个领域,尽管其他领域的关注度也很高,但OWASP Top 10的权威性仍不容忽视。
对于“失效的访问控制”,这一安全风险表现为越权行为。当系统未对用户实施正确的访问控制时,将可能面临一系列安全问题。例如用户可以轻易访问其他用户的账户信息、敏感文件等。
数据传输与加密风险
在数据传输方面,常见的安全问题包括:
数据以明文形式传输,如使用HTTP、TP和FTP等协议。
默认或老旧代码中采用弱或过时的加密算法。
未强制执行数据加密标准。
用户代理无法有效验证服务器。
注入攻击及其防范
随着主流框架的广泛应用,注入攻击的发生概率有所下降,“注入”从2017年的首位降至第三位。SQL注入是典型的注入攻击形式之一,攻击者能在web应用程序中添加额外SQL语句以实现非法操作。
不验证、过滤和清理用户提供的数据。
在解释器中直接使用未经上下文感知转义的动态查询或非参数化调用。
在对象关系映射 (ORM) 搜索参数中使用恶意数据进行查询。
新类型安全风险——“不安全设计”
2021年新增的“不安全设计”类型主要关注设计缺陷带来的风险。这类问题往往源于设计之初的考虑不周全或错误的设计决策。
在web应用程序中,错误配置是一个普遍存在的问题,它可能导致各种安全风险。例如:
应用程序堆栈中缺乏适当的安全强化或云服务的权限配置不当。
不必要的功能(如端口、服务、页面、账户或权限)被启用或安装。
易受攻击和过时的组件风险
当客户端和服务器使用易受攻击或过时的组件时,系统可能会遭受攻击。常见的漏洞包括:
未及时修复或升级组件的漏洞。
未遵循基于风险的修复策略来及时更新平台、框架和依赖项。
身份验证与会话管理风险
身份验证和会话管理是确保系统安全的关键环节。常见的安全问题包括:
允许自动攻击如撞库等。
使用弱密码或默认密码。
假设验证与软件更新的失败
这是一个新增加的类型,它涉及到与软件更新、关键数据和CI/CD管道相关的假设验证问题。这包括在未经验证的情况下做出假设,可能导致严重的安全问题。
日志记录与监控的缺失或不足