OWASPTOP10–漏洞指南(2021)
⽬录
什么是OWASP?
在 开放Web应⽤基⾦会致⼒于创造⼀个更安全的⽹络应⽤环境。它免费提供⽂章、⼯具、技术和论坛,让每个开发⼈员都能创建安全的代码。其最著名的项⽬之⼀是 OWASP Top 10。
什么是 OWASP 前 10 名?
OWASP Top 10 是根据开放 Web 应⽤程序安全项⽬公开共享的 10 个最关键的 Web 应⽤程序安全漏洞列表。根据 OWASP,漏洞是应⽤程序中的⼀个弱点,它允许恶意⽅对应⽤程序的利益相关者(所有者、⽤户等)造成伤害。
OWASP Top 10 列表由全球 Web 应⽤程序安全专家开发并定期更新。它旨在教育公司了解他们需要缓解以保护其 Web 应⽤程序的漏洞和关键安全风险。
在 Top 10 列表旁边,OWASP 还发布和维护以下资源:
OWASP Juice Shop:⽤于安全培训的故意不安全的 Web 应⽤程序
OWASP 测试指南:应⽤程序测试的“最佳实践”漏洞修复失败
OWASP 前 10 名名单
访问控制强制实施策略,使⽤户⽆法在其预期权限之外进⾏操作。失败的访问控制通常会导致未经授权的信息泄露、修改或销毁所有数据、或在⽤户权限之外执⾏业务功能。常见的访问控制脆弱点包括:
违反最⼩特权原则或默认拒绝原则,即访问权限应该只授予特定能⼒、⾓⾊或⽤户,但实际上任何⼈都可以访问。
通过修改 URL(参数篡改或强制浏览)、内部应⽤程序状态或 HTML 页⾯,或使⽤修改 API 请求的攻击⼯具来绕过访问控制检查。
通过提供唯⼀标识符(不安全的直接对象引⽤)允许查看或编辑其他⼈的帐户。
API没有对POST、PUT 和DELETE强制执⾏访问控制。
特权提升。 在未登录的情况下假扮⽤户或以⽤户⾝份登录时充当管理员。
元数据操作,例如通过重放或篡改 JSON Web 令牌 (JWT) 来访问控制令牌,或操纵cookie 或隐藏字段以提升权限,或滥⽤ JWT 失效。 CORS 配置错误以致允许未授权或不可信的API访问。
以未通过⾝份验证的⽤户⾝份强制浏览的通过⾝份验证时才能看到的页⾯或作为标准⽤户⾝份访问特权页⾯。
预防措施 访问控制只在受信服务器端代码或⽆服务器API中有效,这样攻击者才⽆法修改访问控制检查或元数据。
除公有资源外,默认为“拒绝访问”。
使⽤⼀次性的访问控制机制,并在整个应⽤程序中不断重⽤它们,包括最⼩化跨源资源共享 (CORS) 的使⽤。
建⽴访问控制模型以强制执⾏所有权记录,⽽不是简单接受⽤户创建、读取、更新或删除的任何记录。
特别的业务应⽤访问限制需求应由领域模型强制执⾏。
禁⽤Web服务器⽬录列表,并确保⽂件元数据(例如: .git)和备份⽂件不存在于Web的根⽬录中。
在⽇志中记录失败的访问控制,并在适当时向管理员告警(例如:重复故障)。
对API和控制器的访问进⾏速率限制,以最⼤限度地降低⾃动化攻击⼯具带来的危害。
当⽤户注销后,服务器上的状态会话标识符应失效。⽆状态的JWT令牌应该是短暂的,以便让攻击的攻击机会窗⼝最⼩化。 对于时间较长的JWT,强烈建议遵循OAuth标准来撤销访问。
开发⼈员和QA⼈员应进⾏访问控制功能的单元测试和集成测试。
2.机制失效
⾸先要确认:对传输中数据和存储数据都有哪些保护需求。 例如,密码、信⽤卡号、医疗记录、个⼈信息和商业秘密需要额外保护,尤其是在这些数据属于隐私保护法(如:欧盟GDPR) 或法规条(如:⾦融数据保护标准PCI DSS)适⽤范围的情况下。 对于这些数据,要确定:
在传输数据过程中是否使⽤明⽂传输?这和传输协议有关,如:HTTP、SMTP、经过TLS升级(如STARTTLS )的FTP。外部⽹络流量是有害的。需要验证所有的内部通信,如,负载平衡、Web服务器或后端系统之间的流量。 ⽆论是在默认情况下还是在旧的代码中,是否还在使⽤任何旧的或脆弱的加密算法或传输协议? 是否使⽤默认加密密钥、⽣成或重复使⽤脆弱的加密密钥,或者是否缺少适当的密钥管理或密钥回转?加密密钥是否已经提交到源代码存储库?
是否未执⾏强制加密,例如,是否缺少安全相关的HTTP(浏览器)指令或标头?
接收到的服务器证书和信任链是否经过正确验证?
初始化向量是否忽略,重⽤或⽣成的密码操作模式是否不够安全? 是否正在使⽤不安全的操作模式,例如欧洲央⾏正在使⽤的操作模式? 当认证加密更合适时是否使⽤加密?
在缺乏密码基密钥派⽣函数的情况下,是否将密码⽤作加密密钥?
随机性是否⽤于并⾮旨在满⾜加密要求的加密⽬的? 即使选择了正确的函数,它是否需要由开发⼈员播种,如果不需要,开发⼈员是否⽤缺乏⾜够熵/不可预测性的种⼦覆盖了内置的强⼤播种功能?
是否使⽤过时的散列函数,例如 MD5 或 SHA1,或者在散列函数需要加密时使⽤⾮加密散列函数?
是否在使⽤已弃⽤的加密填充⽅法,例如 PCKS number 1 v1.5?
加密的错误消息或侧信道信息是否可以利⽤,例如使⽤填充预⾔机攻击的形式?
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议