OWASP Top 10 - 2017:最关键的Web应用程序安全风险

日期: 2017年12月6日
阅读时间: 7 min

除了现代软件开发过程之外,现在业务使用的软件迅速发展,变得越来越复杂和连接。 Web应用程序安全风险越来越多,在货币和声誉损失方面,公司都无法承担网络安全问题。

随着复杂性的增长,实现网络安全越来越困难,避免使您的临界基础设施损坏。在这种情况下,软件安全问题是趋势。

在思想威胁威胁威胁中引起的威胁,一个主动开放的Web应用程序安全项目(OWASP)社区致力于支持可信赖的应用程序和API的开发,购买和维护。 OWASP在Web应用程序安全性方面提供了景点,定期发布他们的景点 十大漏洞列表

在本文中,我们将更接近OWASP前10名,列出最常见的Web应用程序安全风险,将2017年列表版本与上一个版本进行比较,并建议Web应用程序安全性的后续步骤。

什么是OWASP前10名?

OWASP通过安全测试提供免费和开放的应用程序安全工具和标准,以及充足的有价值的材料,安全测试,安全的代码开发和评论。更多,OWASP定期准备OWASP前10名列表。该清单显示了最常见于Web应用程序中的十大漏洞,是什么让它们轻松利用。攻击不仅在Web应用程序的安全漏洞中导致窃取数据或接管您的基础架构–但更重要的是,在损害您公司的声誉。

OWASP Top 10 - 2017年Web应用程序安全风险。

看看OWASP确定的最常见的网络安全威胁。

– A1:2017 Injection

当攻击者向解释器发送不受信任的数据时,发生诸如SQL或LDAP注入的注入漏洞发生在未经理授权的情况下被执行为命令或查询的解释器。它可能导致数据丢失,腐败,未经授权方披露,甚至完整的收购。

如何防止注射?

将数据与命令和查询分开。使用安全API。进行应用安全测试。

–A2:2017损坏的身份验证和会话管理

配置错误配置的用户和会话管理身份验证可能允许攻击者危及密码,密钥或会话令牌,或者控制用户的帐户以临时或永久地承担其身份。这可能导致身份盗窃,洗钱和披露高度敏感的信息。

如何防止损坏的身份验证?

如果可能,实现多因素身份验证,以及强密码检查。不要使用任何默认凭据运送或部署。

–A3:2017敏感数据曝光

许多应用程序和API不正确保护敏感数据,例如财务,健康记录或其他个人信息。这可能使攻击者能够访问此类信息以提交欺诈或窃取身份。

如何防止敏感数据曝光?

根据法律规定对数据进行分类。不要不必要地存储敏感数据。确保加密休息和传输速率的所有数据。

–A4:2017 XML外部实体(XXE)

旧或不良配置的XML处理器评估XML文档中的外部实体引用。它们可用于攻击,包括远程代码执行,以扫描内部系统并披露内部文件。

如何防止xxe?

修补或升级所有XML处理器和库。使用静态应用安全测试(SAST)工具检查依赖项。培训您的开发人员识别和缓解XXE。

–A5:2017损坏的访问控制

错误地配置或缺少对经过身份验证的用户的限制,允许它们访问未经授权的功能或数据。攻击者可以访问其他用户的帐户,查看敏感文档并修改数据和访问权限。

如何防止断开访问控制?

实现访问控制机制。进行渗透测试以检测运行不当的访问控制。

–A6:2017安全错误配置

这是不安全的默认配置,不完整或ad hoc配置的常见结果,打开云存储,错误配置的安全标头和包含敏感信息的详细错误消息。

如何防止安全性错误配置?

定期修补和升级系统,框架和组件。进行动态应用安全测试(DAST)。

–A7:2017跨站点脚本(XSS)

每当应用程序在新网页中包含不受信任的数据而没有适当的验证或逃避时,横向站点脚本(XSS)缺陷会发生。 XSS允许攻击者在受害者的浏览器中执行脚本,可以劫持用户会话,将用户重定向到恶意网站或缺陷网站。

如何预防XSS?

从活动浏览器内容分隔不受信任的数据。使用框架自动逃离XSS的设计。应用最佳编码实践,如输入验证和编码数据。

–A8:2017不安全的反序列化

Inecure Deserialization可能导致远程执行代码。它也可用于执行注入,重放和特权升级攻击。

如何防止不安全的反序列化?

切勿从不受信任的来源接受序列化对象,也不使用只允许原始数据类型的序列化介质。进行渗透测试。

–A9:2017使用具有已知漏洞的组件

对于许多公司来说,这种风险可能是列表的顶部。开发人员不知道其应用程序中的组件(如库,框架,模块)是常见的。使用具有已知漏洞的组件的应用程序和API可能导致利用不安全的组件并占用基础架构或窃取敏感数据。

如何防止使用已知漏洞的组件?

仅通过安全链接获取官方来源的资源。监视未扫描库和组件。分析软件的组件。

–A10:2017日志记录和监控不足

记录和监控不足,与安全响应系统的低效集成允许攻击者进一步攻击系统,维护持久性,提取或销毁数据并枢转到其他系统。

如何避免不足的日志记录和监控?

可以确保所有故障(登录,访问控制,服务器端输入验证)可以登录以识别可疑帐户并定期监控。进行渗透测试。

OWASP前10名2017年 - 与以前发布的差异

随着技术和架构的发展迅速而显着改变,10个Web应用程序安全风险的OWASP列表需要不断适应新现实。从参与组织汇总的大量社区反馈和广泛的数据有助于准备新的 应用程序安全威胁列表。虽然在许多方面,列表看起来非常类似于以前的版本,但与业务部门的广泛连接可确保OWASP列表满足威胁组织的最新和重要风险,并触及现代软件的关键问题。
与以前的OWASP十大版本最重要的差异如下:

合并断开的访问控制类别

“A4-Insecure Direct Object Reference”和“A7缺失的函数级别访问控制”类别来自OWASP Top 10 2013的类别被合并为单一类别的“A4破损访问控制”。这消除了以前类别的措辞产生的任何可能的混淆,并促进了关注这一类别的关键点。

删除开放式URL重定向和转发类别

“A10-Unvalidated的重定向和转发”类别被从前10个列表中删除,因为可用的研究证明它并不像过去那样普遍。

添加社区支持的新问题

基于社区的前瞻性深入了解弱点类别,增加了'A8-Insecure Deserialization'和'A10不足和监测类别。

添加数据支持的新问题

由于安全测试工具(SAST)收集的数据集(SAST)收集的数据集,因此添加了'A4-XML外部实体(XXE)'类别。

Web应用程序安全性 - 下一步

多年来,OWASP前10名列表演变为最常见的安全合规性清单。消除OWASP前10名漏洞是一个伟大的起点和减少安全漏洞风险的好方法。但请记住 - 只有您的代码和整个组织安全的第一步!有许多其他问题可能会破坏您的Web应用程序的整体安全性。

标准违规检测时间超过200天,通常由内部流程,而是由外部方检测到。在网络安全方面还有很多待的事情!

考虑实施现实标准,例如OWASP应用程序安全验证标准(ASV)。专注于接近应用程序安全性,明智地使用可用的工具,并使安全成为您的商业文化的一个组成部分。如果这超出了你的范围,请考虑使用外部 网络安全团队 这将提供指导并进行Web应用程序安全评估。选择公司时,值得考虑那些超出您的申请所拥有的安全问题的人,也能够通过他们的程序员有效地解决识别的漏洞。

喜欢博客帖子?

请给我们反馈意见。

饼干

本网站在计算机上存储cookie。这些cookie用于改进我们的网站,并在本网站和其他媒体上为您提供更多个性化服务。要了解有关我们使用的饼干的更多信息,请参阅我们的 隐私政策.