OWASP Top Ten

最新推荐文章于 2024-02-24 11:55:12 发布
最新推荐文章于 2024-02-24 11:55:12 发布
阅读量255 收藏
点赞数
文章标签: 安全 https ssl
原文链接:https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
版权

OWASP Top Ten Web Application Security Risks | OWASP

重点解释

A02:2021 – Cryptographic Failures(A02:2021 – 加密失败

概述

上移一个位置到#2,以前称为敏感数据暴露,这更像是一个广泛的症状而不是根本原因,重点是与密码学相关的失败(或缺乏密码学)。这往往会导致敏感数据的暴露。包括的值得注意的常见弱点枚举 (CWE) 包括CWE-259:使用硬编码密码CWE-327:损坏或有风险的加密算法CWE-331 熵不足

描述

首先是确定传输中和静止数据的保护需求。例如,密码、信用卡号、健康记录、个人信息和商业秘密需要额外保护,主要是如果该数据属于隐私法(例如欧盟的通用数据保护条例 (GDPR))或法规(例如金融数据保护)例如 PCI 数据安全标准 (PCI DSS)。对于所有此类数据:

  • 是否有任何数据以明文形式传输?这涉及 HTTP、SMTP、FTP 等协议也使用 TLS 升级,如 STARTTLS。外部互联网流量是危险的。验证所有内部流量,例如,负载平衡器、Web 服务器或后端系统之间的流量。

  • 默认情况下或在较旧的代码中是否使用任何旧的或弱的加密算法或协议?

  • 是否正在使用默认加密密钥、生成或重复使用弱加密密钥,或者是否缺少适当的密钥管理或轮换?加密密钥是否已签入源代码存储库?

  • 是否未强制执行加密,例如,是否缺少任何 HTTP 标头(浏览器)安全指令或标头?

  • 收到的服务器证书和信任链是否经过正确验证?

  • 初始化向量是否被忽略、重用或生成的加密操作模式不够安全?是否正在使用不安全的操作模式,例如欧洲央行?当认证加密更合适时是否使用加密?

  • 在没有密码基密钥派生函数的情况下,是否将密码用作加密密钥?

  • 随机性是否用于并非旨在满足加密要求的加密目的?即使选择了正确的函数,它是否需要由开发人员播种,如果不需要,开发人员是否用缺乏足够熵/不可预测性的种子覆盖了内置的强大播种功能?

  • 是否使用过时的哈希函数,例如 MD5 或 SHA1,或者在需要加密哈希函数时使用非加密哈希函数?

  • 是否在使用已弃用的加密填充方法,例如 PCKS number 1 v1.5?

  • 加密错误消息或边信道信息是否可利用,例如以填充预言机攻击的形式?

请参阅 ASVS 加密 (V7)、数据保护 (V9) 和 SSL/TLS (V10)

如何预防

至少执行以下操作,并查阅参考资料:

  • 对应用程序处理、存储或传输的数据进行分类。根据隐私法、监管要求或业务需求确定哪些数据是敏感的。

  • 不要不必要地存储敏感数据。尽快丢弃它或使用符合 PCI DSS 的标记化甚至截断。未保留的数据不能被窃取。

  • 确保加密所有静态敏感数据。

  • 确保拥有最新且强大的标准算法、协议和密钥;使用适当的密钥管理。

  • 使用安全协议(例如具有前向保密 (FS) 密码的 TLS、服务器的密码优先级和安全参数)加密所有传输中的数据。使用 HTTP 严格传输安全 (HSTS) 等指令强制加密。

  • 对包含敏感数据的响应禁用缓存。

  • 根据数据分类应用所需的安全控制。

  • 不要使用旧协议(例如 FTP 和 SMTP)来传输敏感数据。

  • 使用具有工作因子(延迟因子)的强自适应和加盐散列函数存储密码,例如 Argon2、scrypt、bcrypt 或 PBKDF2。

  • 必须选择适合操作模式的初始化向量。对于许多模式,这意味着使用 CSPRNG(密码安全伪随机数生成器)。对于需要随机数的模式,则初始化向量 (IV) 不需要 CSPRNG。在所有情况下,对于一个固定密钥,IV 永远不应该被使用两次。

  • 始终使用经过身份验证的加密,而不仅仅是加密。

  • 密钥应该以加密方式随机生成并作为字节数组存储在内存中。如果使用密码,则必须通过适当的密码基密钥派生函数将其转换为密钥。

  • 确保在适当的地方使用加密随机性,并且它没有以可预测的方式或低熵进行播种。大多数现代 API 不需要开发人员为 CSPRNG 设置种子以获得安全性。

  • 避免不推荐使用的加密函数和填充方案,例如 MD5、SHA1、PKCS number 1 v1.5。

  • 独立验证配置和设置的有效性。

攻击场景示例

场景#1:应用程序使用自动数据库加密对数据库中的信用卡号进行加密。但是,此数据在检索时会自动解密,从而允许 SQL 注入缺陷以明文形式检索信用卡号。

场景#2:站点不使用或对所有页面强制执行 TLS 或支持弱加密。攻击者监视网络流量(例如,在不安全的无线网络中),将连接从 HTTPS 降级为 HTTP,拦截请求并窃取用户的会话 cookie。然后攻击者重放这个 cookie 并劫持用户的(经过身份验证的)会话,访问或修改用户的私人数据。除了上述之外,他们还可以更改所有传输的数据,例如,汇款的接收者。

场景#3:密码数据库使用未加盐或简单的哈希来存储每个人的密码。文件上传缺陷允许攻击者检索密码数据库。所有未加盐的哈希值都可以通过预先计算的哈希值彩虹表公开。由简单或快速散列函数生成的散列可能会被 GPU 破解,即使它们被加盐。

orangeNANA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP TOP10 漏洞介绍中文版
04-21
OWASP_Top_10_2013-Chinese-V1.2 OWASP组织提供的前10漏洞清单 互联网运营必看
OWASP TOP 10 2019
lxy123_com的博客
03-10 748
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
【渗透测试】OWASP TOP10
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
翻译 OWASP Top Ten
m0_62314360的博客
12-13 806
A01:2021 – Broken Access Control A01:2021 – 访问控制中断 概述 从第五位上升到第五位,94%的应用程序接受了某种形式的中断访问控制的测试,平均发生率为3.81%,并且在贡献的数据集中发生次数最多,超过318k。包括值得注意的常见弱点枚举(CWE-200:敏感信息暴露给未经授权的行为者,CWE-201:通过发送的数据暴露敏感信息, 和CWE-352:跨站点请求伪造。 描述 访问控制强制实施策略,以便用户不能在其预期权限之外执行操作。故障通常会导致未经授..
OWASP 2010 TOP10列表
12-14
This release of the OWASPTop 10 marks this project’s eighth year of raising awareness of the importance of application security risks. This release has been significantly revised to clarify the focus...
DjanGoat:OWASP RailsGoat项目的Python和Django实现
05-25
DjanGoat DjanGoat是一个易受攻击的Django应用程序,大部分基于项目。 该应用程序声称是MetaCorp,Inc的内部员工门户,但包含漏洞,并且打算用作开发人员和安全专业人员的教育工具。 欢迎任何维护者提出请求。...
OWASP_ProActive_Controls软件开发主动控制项目.pdf
08-08
OWASP TOP TEN Proactive Controls v3.0 C1:明确安全需求 C2:使用安全的框架和软件库 C3:安全的数据库访问 C4:数据编码与转义 C5:验证所有输入 C6:实现数字身份 C7:实施访问控制 C8:保护所有的数据 C9:实施...
OWASPv4ch.rar
07-14
OWASPv4ch.rar 文件包含的是OWASP Top Ten项目的中文版资源,这是一个关于最常见Web应用程序安全风险的权威指南。这个压缩包特别适合那些希望深入学习渗透测试和Web应用安全的初学者或专业人士。 渗透测试是一种...
OWASP_Code_Review_Guide_v2
03-09
7. **安全设计原则**:讲解如何在代码审查中应用OWASP Top Ten原则,避免常见的安全威胁,如注入攻击、跨站脚本(XSS)、跨站请求伪造(CSRF)等。 8. **团队协作与沟通**:强调审查过程中的有效沟通,如何提供建设...
翻译OWASP TOP TEN
lanlan_yangyang的博客
12-14 3074
打开owasp top ten,选择其中两个进行翻译 A07:2021–识别和身份验证失败: 概述 以前称为中断的身份验证,这一类下滑从第二个立场,现在包括了共同的弱点与标识相关的枚举(CWE)失败。值得注意的CWE包括CWE-297:验证不当主机不匹配的证书,CWE-287:不正确的身份验证,和CWE-384:会话固定. 说明 确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击。如果应用程序: 允许自动攻击,如凭证填充,其中攻击者拥有有效用户名和密码的列表。 允许暴.
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1732
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
Owasp top 10 -2017介绍
sdaujsjczh的专栏
05-31 610
test
做网安必看的OWASP TOP 10(2021)最新榜单
weixin_55821558的博客
03-30 6840
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。 2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。 值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。 什么是OWASP Top 10 OWASP,全称“开放式We...
十大WEB安全问题(OWASP Top Ten Project-2017)
作一个独立连续的思考者
11-08 752
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。2017年列了十大安全攻击类型: •A1 Injection •A2 Broken Authentication and Session Managem...
[原创]OWASP TOP TEN 2007 10大Web应用程序安全问题
weixin_33898876的博客
08-04 122
[原创]OWASP TOP TEN 2007 10大Web应用程序安全问题    随着互联网网络的发展,Web产品的发展越来越快,Web产品本身具备自身的特点及弱点,不可避免的存在一定的风险,在风险控制环节安全问题尤为重要,以下是10大Web应用程序安全问题:  序号 内容 说明 1 跨站脚本漏洞 ...
网络安全入门必知的OWASP top 10漏洞详解
瓦罗兰特顶级C位的博客
08-04 4917
首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
OWASP TOP 10
weixin_59616219的博客
12-20 4788
OWASP TOP 10
owasp top10
最新发布
03-27
OWASP Top 10是由Open Web Application Security Project(OWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值