目录
三、2021 OWASP TOP 10 LIST 有什么新变化?
开放网络应用安全项目(OWASP)最近更新了4年后对网络应用最严重的10大安全风险。这是自2003年推出该名单以来改动最大的一次,这些变化无疑将对未来企业如何处理应用程序安全性产生重大影响。本文将带领大家梳理这些OWASP TOP 10 LIST的新变化,以及介绍一种企业应对这些潜在安全风险的最佳实践。
一、OWASP TOP 10 LIST是什么?
开放网络应用安全项目(OWASP)是一个致力于提高软件安全性的非营利性基金会。它基于“开放社区”模式运作,这意味着任何人都可以参与在线聊天、贡献 OWASP 的相关项目等活动。
从在线工具、视频到论坛、活动,OWASP 提供的服务一直是免费的,并且通过其网站可以轻松访问与参与。
OWASP TOP 10 LIST 提供了十大最关键的网络应用程序安全风险的排名和补救指南。基于OWASP 开放社区贡献者的广泛知识和经验,该报告采纳了来自世界各地的安全专家的共识。十大风险等级根据发现的安全缺陷的频率、发现的漏洞的严重程度及其潜在影响的大小进行排序。
该LIST的目的是让开发人员和网络应用程序安全人员深入了解最常见的安全风险,以便他们能够将报告的结果和建议纳入自己的安全实践中,从而尽量减少其应用程序中已知的风险。
二、为什么OWASP TOP 10 LIST很重要
自2003年以来,OWASP 一直在持续发布着它的TOP 10 LIST,而且每两到三年会根据 AppSec 市场的进步和变化更新一次。该列表的重要性在于它提供的信息完备且可操作性强,可以作为世界上许多大型组织的checklist和内部 Web 应用程序开发标准。
同时安全领域的从业人士往往会默认这样一个事实,如果某个企业未能解决 OWASP TOP 10 LIST上的问题,就表明该组织可能也达不到其他安全合规标准。相反,如果企业能将 Top 10 LIST解决方案集成至软件开发生命周期(SDLC)中,这将成为企业对安全开发最佳实践做出的最基础的承诺。
三、2021 OWASP TOP 10 LIST 有什么新变化?
对于2021年的LIST,OWASP 增加了三个新的类别,对命名和范围作了四处修改,并进行了一些整合。
1. 中断访问控制(A01:2021):此前排名第5的中断访问控制问题(这个弱点允许攻击者访问用户账户)在2021年上升到了第1位。此上下文中的攻击者可以充当系统中的用户或管理员。
示例:应用程序允许更改主键,当此键更改为另一个用户的记录时,可以查看或修改该用户的账户。
2. 加密失败(A02:2021):此前位于第3位,以前称为敏感数据暴露,此条目被重命名为加密失败,以准确地描述其根本原因,而不是表现形式。当重要的存储或传输数据被破坏时,就会发生加密失败。
示例: 金融机构未能充分保护其敏感数据,因而很容易成为信用卡欺诈和身份盗窃的目标。
3. 注入(A03:2021):注入从第一位下降到第三位,跨网站脚本现在被认为是这个类别的一部分。从本质上讲,当攻击者将无效数据发送到 Web 应用程序中,以使应用程序执行其设计不允许的操作时,就会发生代码注入。
示例: 应用程序在构造易受攻击的 SQL 调用时使用不受信任的数据。
4. 不安全设计(A04:2021):不安全设计是2021年的一个新类别,其主要关注与设计缺陷相关的风险。随着企业继续实践“安全左移”,威胁建模、安全设计模式和原则以及参考体系结构方面的努力还远远不够。
示例:允许团体预订的连锁电影院要求超过15人的团体缴纳押金。攻击者瞄准了这种工作流,他们可以在各个连锁影院预订数以百计的座位,从而造成数千美元的收入损失。
5. 安全错误配置(A05:2021):以前的外部实体类别现在是这一风险类别的一部分,其从第6位上升至第5位。安全性错误配置往往是由于配置错误或缺陷而导致的设计和配置弱点。
示例: 默认账户及其原始密码仍然启用,使系统容易被利用。
6. 易受攻击的和陈旧的组件(A06:2021):这一类别从第9位上升,涉及构成已知和潜在安全风险的组件,而不仅仅是前者。应该识别和修补具有已知漏洞的组件(如 CVE) ,同时应该评估陈旧或恶意组件的可行性和它们可能带来的风险。
示例: 由于开发中使用了大量的组件,开发团队可能不知道或不理解其应用程序中使用的所有组件,其中一些组件可能已经被淘汰,因此容易受到攻击。
7. 识别和认证失败(A07:2021):以前称为中断身份验证,该条目从第2项下移,现在包括与标识失败相关的 CWE。具体来说,与身份验证和会话管理相关的功能,如果实现不当,允许攻击者破坏密码、关键字和会话,这可能导致用户身份被窃取等潜在风险。
示例:Web 应用程序允许使用弱密码或容易被暴力破解的密码(如“ 888888”)。
8. 软件和数据完整性故障(A08:2021):这是2021年的一个新类别,主要关注软件更新、关键数据和使用的 CI/CD 管道,无法验证其完整性。现在在这个条目中还包含了不安全的反序列化,即一个反序列化缺陷,允许攻击者在系统中远程执行代码。
示例: 应用程序反序列化攻击者提供的敌对对象,使自身暴露于漏洞之中。
9. 安全日志记录和监视故障(A09:2021):该条目以前被称为日志记录和监视不足,现在已经从第10条提升到更高的位置,并扩展了更多类型的故障。其实日志记录和监测是应该在网站上经常进行的活动,如果不这样做,网站就很容易受到更严重的损害活动的影响。
示例:可以审计的事件(如登录、失败的登录和其他重要活动)不会被记录,从而导致应用程序易受攻击。
10. 服务器端请求伪造(A10:2021):今年的一个最后一个新类别是服务器端请求伪造(SSRF) ,当 Web 应用程序在没有验证用户提供的 URL 的情况下获取远程资源时,就可能发生这种情况。这允许攻击者使应用程序向意外的目的地发送精心设计的请求,即使系统受到防火墙、 VPN 或其他网络访问控制列表的保护。由于云服务和架构复杂性的增加,SSRF 攻击的严重性和发生率正在增加。
示例:如果网络架构是未分段的,攻击者可以使用连接结果或经过的时间来连接或拒绝 SSRF 有效负载连接,以绘制内部网络,并确定内部服务器上的端口是打开还是关闭。
四、企业该怎么办
2021年 OWASP TOP 10 LIST向前迈出了一大步。OWASP 将安全性向左迁移,增加了新的类别,并对其排名进行了重大改变,这就要求企业从整体上重新评估其应用程序安全情势。
国外头部网络安全公司在此方面提供了众多的工具,例如新思拥有完整的一套AST工具链,checkmarx令人称道的SCA工具。从理论上来说,企业不应该畏惧这些安全风险。但从实际应用上来说,国内的企业(无论大小)往往都对这些自动化监测工具望而却步。
原因很简单,小型企业很难负担得起昂贵的软件年费,中大型公司对于国外软件晦涩难懂的操作界面与沟通艰难的售后服务同样不太感冒。同时,《十四五 软件和信息技术服务业发展规划》指出要实现基础软件的国产化和完全自主可控。远有“微软黑屏”事件,近有“SolarWinds”供应链攻击事件,在此严峻的行业背景之下难道就没有一款国产本地化代码审查工具/平台吗?
其实国内的厂商已经在这条路上进行了一些探索,比如悬镜安全、开源网安、墨菲安全等等公司已经开发了一系列产品,这些工具各有优劣,但是往往不能满足用户企业的所有需求。
唯一稍微全面一些的是泛联新安的CodeAnt开发安全平台,CodeAnt采用SaaS模式,试用方便使用成本低,做到完全本地化的同时尊重不同语言用户需求,具备专业响应及时的中文客服团队。从能力上来说,CodeAnt能自动识别软件代码组成成分(如开源组件、商用组件、自研代码)和代码漏洞,自动分析溯源二进制样本中包含的恶意代码家族、APT组织、恶意代码类型等信息,清晰展示相关数据。最重要的是,CodeAnt核心代码均为自主研发,拥有完全自主知识产权。
国产基础软件自主可控任重道远,代码质量和应用安全问题不容忽视。OWASP TOP 10 LIST给出了一份完整的试题,如何作答则取决于企业自身对于网络安全问题的重视程度。
3231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
