OWASP(Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织。是指web应用程序安全风险。2021年web漏洞较以往有一些变化。
2021top 10总结如下:
A01:2021-Broken Access Control 访问控制失效
A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。提供的数据表明,超过94%的app都经历过某种形式的越权访问控制测试。对应到失效的访问控制有34个CWE,比任何其它类型在应用中出现的次数都多。
基本描述
失效访问控制就是执行策略,使用户不能超出其预期权限行事。如果策略失败就会导致未经授权的信息被暴露、修改或者销毁相关数据,更有甚者在用户限制之外执行业务功能。另外,通俗点讲失效的访问控制其实就是一种越权操作行为,这种越权主要表现为水平越权和垂直越权行为。
加固建议
除了公共资源外,默认禁止访问;
确保以尽可能少的方式提供给用户、程序或进程访问权限,分清权限问题。
禁止列出WEB服务器目录,确保元数据和备份文件不在根目录;
限制访问API的频率,使自动化扫描攻击工具的损害最小化;
token应该在登出后立刻失效;
加强引用