OWASP A4 Insecure Design(不安全的设计)

最新推荐文章于 2023-09-03 17:03:08 发布
最新推荐文章于 2023-09-03 17:03:08 发布
阅读量461 收藏 1
点赞数 1
分类专栏: OWASP 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_like_ctrl/article/details/127228397
版权

Insecure Design(不安全的设计)

这个是 OWASP 在今年新出的类别.

根据 OWASP 的说法,这一类着重于在设计与架构中的风险.来呼吁更多使用到威胁建模,安全设计模式与参考架构.

也就是说在程序设计的时候,避免无效的程序设置,暴露敏感数据.

其中著名的 CWE 中有

  1. CWE-209:产生的错误信息中包含敏感信息
  2. CWE-256:受保护的凭证不足
  3. CWE-502:信任边界冲突
  4. CWE-522:凭据保护不足

更多的 CWE 例子可以点击这里

我个人更倾向于是应用设计时的逻辑漏洞

以 CWE-209 为例

比方说 SQL 注入的错误回显

也就是说, SQL 查询报错的语句,返回显示界面

至于错误回显是怎么造成的,可以看我的博客文章里

SQL 注入之错误回显

再换个思路想

在一个登录界面,你尝试乱输入一个账号和密码

这个应用它只会返回

账户不存在

密码不正确

这就很可怕了

只要它没有爬虫限制

那么我就可以尝试爬下该应用整个所有账号

所以,现在绝大部分应用的登录,业务处理等会采取准确且模糊的说服(?

再说说 CWE-256

我们可以看一段代码

$user = $_GET['user'];
$pass = $_GET['pass'];
$checkpass = $_GET['checkpass'];
if$pass == $checkpass{
    SetUserPassword($user, $pass);
    //修改密码函数
}

我们可以看出这是个简单的修改密码的过程

但是这里可以触发水平越权的漏洞

因为这段函数只是校验了密码是否正确

并没有关注修改账户的一致性

也就是说,我可以直接修改 URL 值

来达到修改其他用户账户密码的目的

总的来说,不安全设计是一种广泛的类别,会呈现许多不同的弱点.

安全设计是什么?

根据 OWASP 的说法

安全设计是一种方法,不断评估威胁,并且保证代码能够通过稳健设计和测试,防止已知的攻击方法.安全设计需要安全的开发生命周期,某种形式的安全设计模式或者铺砌道路组件库或工具,以及威胁建模。

如何预防?

本人代码资历较浅,在这里只能采用 OWASP 的说法

  • 与 AppSec 专业人员建立并使用安全的开发生命周期,以帮助评估和设计与安全和隐私相关的控制

  • 建立和使用安全设计模式库或准备使用组件的铺好的道路

  • 将威胁建模用于关键身份验证、访问控制、业务逻辑和关键流

  • 编写单元和集成测试以验证所有关键流都能抵抗威胁模型

今天又是美好的一天呢 😉

真不想起名TAT
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP应用安全设计指导.pdf
02-20
OWASP 应用程序安全设计项目重点是突出一些重要的安全设计原则与步骤,开发人员和架构师必 须遵循它们来进行安全的应用程序设计。通过设计审核,我们可以发现其中的风 险,然后采取措施在设计中避免这种风险。
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 566
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
(网络安全数据集三)常见弱点枚举 CWE数据集和通用平台枚举 CPE解析
Bulldozer_GD的博客
09-12 2717
CWE解析 下面是CWE-209 信息的解析 包含 威胁名称 、相关弱点、常见后果、检测方法、缓解措施、例子和 条目更改的信息等。 <Weaknesses> <Weakness ID="209" Name="Information Exposure Through an Error Message" Abstraction="Base" Structure="Si...
OWASP TOP 10的风险分析、预防措施以及攻击范例(下)
Language_Sumuzhe的博客
05-20 632
OWASP TOP 10的风险分析以及预防措施(A04-A10) A04:2021-不安全设计 Insecure Design 风险说明: 不安全设计是一个广泛的类别,代表不同的弱点,表示为“缺少或无效的控制设计”。不安全设计不是所有其他前10个风险类别的来源。不安全设计和不安全的实现之间存在差异。我们区分设计缺陷和实现缺陷是有原因的,它们有不同的根本原因和补救措施。安全设计仍然可能存在实现缺陷,从而导致可能被利用的漏洞。一个不安全设计不能通过一个完美的实现来修复,因为根据定义,所需的安全控制从未被创建来抵
OWASP-TOP10-2021(1-5)
最新发布
weixin_50605813的博客
09-03 974
方案:(1)使用强密码和密钥管理: 确保使用足够强度的密码和密钥,避免使用弱密码,实施有效的密钥管理策略,包括定期旋转和更新密钥,使用硬件安全模块(HSM)来存储和管理密钥,提高安全性;风险:一些常见的例子包括(1)SQL 注入: 当用户控制的输入被传递到 SQL 查询时,就会发生这种情况,攻击者可以通过 SQL 查询来操纵此类查询的结果,当这种输入被传递到数据库查询中时,攻击者就有可能访问、修改和删除数据库中的信息,这意味着攻击者可以窃取敏感信息,如个人信息和凭证等;(2)访问未经授权的功能。
OWASP靶机、安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接...A4—不安全的直接对象引用 A5—安全配置错误 A6—敏感信息泄漏 A7—功能级访问控制缺失 A8—跨站请求伪造(CSRF) A9—使用含有已知漏洞的组件 A10—未验证的重定向和转发
OWASP安全编码规范1
08-03
2012 年 8 月目录序言 3软件安全与风险原则概览 4输入验证: 5输出编码: 5身份验证和密码管理: 6会话管理: 7访问控制: 7加密规范: 8错误处理
owasp安全测试指南
03-06
owasp安全测试指南中文版
OWASP 移动安全测试指南20210415.pdf
04-15
owasp新版移动安全测试指南
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 2701
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
2021 OWASP TOP 4:不安全设计
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-12 1138
OWASP TOP 4 业务逻辑漏洞
Web安全之不安全设计类漏洞详解及预防
路多辛的所思所想
02-03 607
安全设计漏洞主要指在系统设计和架构设计中,由于不恰当的设计导致的安全风险。需要注意不安全设计和不安全的实现的区别,因为它们有不同的原因和预防措施。不安全设计即使完美得被实现出来,也依然是有问题的,因为在设计过程中就没有考虑针对特定攻击的安全防范措施。2、导出文件功能,禁止使用先生成公共读的下载链接给到客户端下载的方式,需要使用更安全的方式来实现,例如二进流制形式下载。列出的这五条只是不安全设计类漏洞的很小一部分,更多的相关漏洞需要根据漏洞定义去体会和理解。常见的不安全设计类漏洞及预防措施。
初识Top4“不安全设计”以及Top5“安全配置错误”
m0_61294299的博客
10-24 1402
初识Top4“不安全设计”以及Top5“安全配置错误”。
OWASP—Top10(2021知识总结)
热门推荐
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
OWASP TOP10 大主流漏洞原理和防范措施,易理解版
小飞飞的博客
02-23 3192
关于近些年OWSAP十大主流漏洞改动,原理及防范措施,对新手及其友好,容易理解易上手
CWE学习(一)
qq_44370676的博客
04-28 4207
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
CWE-通用弱点枚举简介
plstudio1的博客
03-19 3951
对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战不殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。 CWE是社区...
2021 OWASP Top10
qq_54996168的博客
03-26 8817
OWASP Top10搬运
OWASP Top 10:2021
wyyylqy的博客
03-29 903
最近在找工作,看到好多招聘要求熟悉OWASP Top 10,在网上找相关博客进行学习时,发现大部分博主的相关博客都是基于OWASP Top 10:2017写的,而目前OWASP Top 10已经更新到2021版本,于是打算写一个博客学习记录一下,希望可以为有相同需求的小伙伴提供帮助,也希望大家可以与我相互讨论,共同学习。
owasp v4 应用安全测试指南
08-22
OWASP V4 应用安全测试指南是...总而言之,OWASP V4 应用安全测试指南是一个不可或缺的资源,它提供了全面的指导和建议,帮助开发人员和测试人员在应用程序开发过程中始终保持关注应用安全性,以减少潜在的风险和威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值