OWASP TOP 10–2021

image-20221021140504560

清单变化

image-20221021140607190

排名上升的安全风险:

敏感信息泄露以新的风险形式——加密失败出现上升到第二位;

失效的访问控制上升到第一位;

安全误配置从第六位微弱上升到第五位;

存在安全缺陷的以及过时的组件从第九位上升到第六位;

日志记录及监控不足从第十位上升到第九位。

这里值得我们展开探讨的是上升幅度较大的三类风险——加密失败失效的访问控制以及存在安全缺陷的组件,这三类风险从一个侧面显示了目前 Web 安全开发及测试过程中需要重点关 注的风险种类:

  1. 加密失败及失效的访问控制,这两类安全风险的共性都是非代码层技术性漏洞,无论是使用 了不当的编码加密,还是业务逻辑分割不严密,都是传统安全领域扫描器难以发现的风险种 类

  2. 存在缺陷的安全组件则是在目前技术多元化趋势下,一个必然出现的安全风险种类。

新增的安全风险:

  1. 首先是不安全的设计。与上升的安全风险原因相似,随着自动化安全检测技术的提高,业务 系统在设计中自身存在的问题开始更多地成为热点风险;
  2. 另外两种新进入 TOP 10 的风险分别是软件及数据完整性故障和服务端请求伪造。以软件完整性故障来说,它反映了目前一类成长非常迅速的新形态威胁——供应链污染,这种从上游 组件开始污染,最终影响到终端客户的攻击,近些年取得了很大程度的发展。

OWASP TOP 10 分别是什么

A01:2021- 失效的访问控制

访问控制存在的意义主要是设定了一种边界,使得用户并不能获得在边界之外进行操作的权限。当访问控制失效,通常会导致非授权信息的泄露、越权修改及破坏数据、执行权限外的操作等后果。

A02:2021- 加密失败

这项风险在2017年的清单中以“敏感信息泄露”的形式存在,它更多的是一种常见的风险信号,而不是直接导致安全事件发生的根源。因此我们更多的关注点应该放在密码学的失败调用这些方面。在实际的工作场景下,这类失败的调用往往会伴随着数据泄露事件一起发生,而这种结果的出现是谁都不愿看到的。

A03:2021- 注入

这项风险在2017年的清单中高居榜首,通常注入问题都以SQL、NoSQLayer、命令注入等形式存在。注入在几年前确实极具威慑性,然而,随着自动化检测技术的发展,企业和机构往往在开发过程中就引入一系列安全工具来增强安全属性,比如在C/CD中引入SAST以及DAST工具,这就大大降低了出现这类风险的概率,这也是这两年大热的DevSecOps的理念。

A04:2021- 不安全的设计

这是2021年新引入的一项安全风险,主要关注设计和业务流程上的风险。事实上,不安全的设计是一个比较宽泛的话题,可能存在于很多风险之中。这里我们指的是在产品设计过程中,通过安全规范的设计以及威胁建模等流程,那些能被我们检测和规避的安全威胁种类。

A05:2021- 安全误配置

与2017年清单相比,可以看到这项安全风险的排位有了些许的提升,也许你会觉得从第六名上升到第五名变化不大,但是就像我刚刚讲的一“一叶知秋”,有时候这种微小的变化却体现了宏观的技术发展趋势。随着技术架构向高度“可配置化”软件的迁移,这种风险类别的排位上升倒是并不令人惊讶。

A06:2021- 易受攻击和过时的组件

随着技术的蓬勃发展,大部分产品都会不同程度的依赖各种第三方组件:随着系统复杂度的提升和规模的扩大,也会出现组件更新不及时的情况。这些风险可能涉及的资产包括OS、Wb中间件、DBMS、API、库等,从这个角度你就可以发现随着企业规模的扩大,在攻击者眼中的攻击点有多么广泛。

A07:2021- 识别和认证失败

确认用户的身份、认证过程以及Session管理是预防认证相关风险的关键点,简单来说,这一风险类别可能面临的攻击包括暴力破解、密码喷洒、弱口令、Session管理不当等诸多问题。

A08:2021- 软件和数据完整性故障

作为新出现的一类安全威胁,这一分类主要关注于软件更新、关键数据以及“C/CD”流水线的完整性校验。用比较直白的语言来说,现在大多数应用都不同程度依赖于外部的插件、库、模块以及第三方源,所有这些外部风险都可以通过一次不安全的“C/CD”流水线直接引入到应用中;更进一步,应用的自动更新策略己经广泛普及,但是关于更新内容的完整性检测却没有跟上,这就导致软件更新可能直接引入安全风险。

A09:2021- 安全日志记录及监控失败

这一分类主要目的是提供更多信息,并且帮助我们去发现、评估及响应出现的入侵事件。为了达到这个目的,完善的安全日志记录以及持续的监控服务就显得尤为重要。虽然说起来简单,但是如何记录不同的事件及AP!活动记录、管理日志文件该如何存储和维护,这些都是需要我们考虑的问题。

A10:2021- 服务端请求伪造

现代Wb应用普遍为终端用户提供了更多便捷的功能,这其中就包括获取一个目标的URL资源的功能,也正因为如此,SSRF成为了一种快速攀升的威胁种类。一旦这类风险发生,尽管这些内网系统可能被保护在防火墙或者VPN之后,却很有可能会威胁到Wb业务系统后端的内网系统。

image-20221021143604152