目录
A01:2021-Broken Acess Control——损坏的访问控制
A02:2021-Craptographic——2021-加密失败
十大网络应用风险
A01:2021-Broken Acess Control——损坏的访问控制
A01:2021-Broken Access Control从第五位上升,它也被称为授权,它定义了 Web 应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。
2021-损坏的访问控制从第五位上升:94%的应用程序进行了某种形式的访问控制中断测试。映射到"中断访问控制"的 34 个常见弱项列举 (CWEs) 在应用程序中发生的事件比任何其他类别都多。
什么是访问控制?
访问控制(或授权)是对谁(或什么)可以执行尝试的操作或访问他们所请求的资源的约束条件的应用。在Web应用程序的上下文中,访问控制取决于身份验证和会话管理:
·身份验证可以识别用户并确认他们就是他们所说的身份。
·会话管理标识该同一用户正在发出哪些后续HTTP请求。
·访问控制确定是否允许用户执行他们尝试执行的操作。
损坏的访问控制是一个经常遇到且通常很关键的安全漏洞。访问控制的设计和管理是一个复杂而 动态的问题,将业务,组织和法律约束应用于技术实施。访问控制设计决策必须由人决定,而不 是技术决定,而且出错的可能性很高。
从用户的角度来看,访问控制可以分为以下几类:
·垂直访问控制
·水平访问控制
·上下文相关的访问控制
风险描述
攻击者可通过修改URL,HTML页面绕过访问控制检查;或目录遍历,目录爬升和回溯进行未授权访问;越权访问(垂直越权、平行越权)敏感资源,冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
对业务的影响取决于应用程序和数据的保护需求。
加固建议
除了公共资源外,默认禁止访问;
确保以尽可能少的方式提供给用户、程序或进程访问权限;
禁止列出WEB服务器目录,确保元数据和备份文件不在根目录;
限制访问API的频率,使自动化扫描攻击工具的损害最小化;
token应该在登出后立刻失效;
加强引用参数的封装、加密;
记录所有的访问控制事件;
更多内容参考:https://blog.csdn.net/zycdn/article/details/121114626
更多内容参考:https://blog.csdn.net/Alexhcf/article/details/105974311
访问控制实例参考
A02:2021-Craptographic——2021-加密失败
2021-加密失败是将一个位置向上移动到 #2,以前称为敏感数据暴露,这是广泛的症状,而不是根本原因。这里重新关注的是与密码学相关的故障,这些故障通常会导致敏感数据暴露或系统泄露。
加密失败
上移一位至第2位,以前称为敏感数据暴露(A3:2017-Sensitive Data Exposure),这是广泛的症状而非根本原因。更新后的名称侧重于与密码学相关的缺陷。此类别通常会导致敏感数据暴露或系统受损。
风险描述
由于使用弱加密、未加密、过时的哈希函数(例如 MD5 或 SHA1)、默认加密密钥或重复使用弱加密密钥、缺少二次身份校验,而导致系统泄露敏感信息,造成损失。
加固建议
使用随机加密;
避免使用不安全的加密算法;
始终使用二次身份验证,而不是只进行加密;
使用安全协议传输数据;
参考文章
2021 OWASP Top 10发布——Broken Access Control 跃居榜首_ITPUB博客https://blog.csdn.net/Alexhcf/article/details/105974311