365DaysOfHacking

漏洞挖掘365天挑战——Day002:OWASP Top 10 2021

P小二一条评论

最新OWASP top 10: https://owasp.org/Top10/zh_TW/

Mapping

2017年和2021年的变化:

  1. 注入下滑到第三
  2. 认证失败下降到第七

这种变化是因为整体的企业安全意识提高了,大部分公司在上线之前都会经过详细的渗透测试,再加上第三方安全和认证的组件发展得很快,降低了认证失败得安全风险。

  1. 敏感信息泄露上升到第二位
  2. 失效的访问控制排到了第一位 (这也是后面经常挖掘的漏洞)
  3. 安全配置错误上升到第五

我们需要重点关注的几类为: 加密失败和权限控制失效。为啥呢?因为这是逻辑漏洞,非代码层面的漏洞,这类漏洞扫描器是扫不出来的。

TOP10 安全风险

A01:2021- 权限控制失效 (重点关注)

访问控制存在的意义主要是设定了一种边界,使得用户并不能获得在边界之外进行操作的权限。当访问控制失效,通常会导致非授权信息的泄露、越权修改及破坏数据、执行权限外的操作等后果。

这类漏洞,通常挖掘起来比较容易,而且危害较大,而且很难修补。

A02:2021- 加密机制失效(重点关注)

这项风险在 2017 年的清单中以“敏感信息泄露”的形式存在,它更多的是一种常见的风险信号,而不是直接导致安全事件发生的根源。因此我们更多的关注点应该放在密码学的失败调用这些方面。在实际的工作场景下,这类失败的调用往往会伴随着数据泄露事件一起发生,而这种结果的出现是谁都不愿看到的。

重点关注加密调用失败的一些逻辑场景。

A03:2021- 注入攻击

这项风险在 2017 年的清单中高居榜首,通常注入问题都以 SQL、NoSQLayer、命令注入等形式存在。注入在几年前确实极具威慑性,然而,随着自动化检测技术的发展,企业和机构往往在开发过程中就引入一系列安全工具来增强安全属性,比如在 CI/CD 中引入 SAST 以及 DAST 工具,这就大大降低了出现这类风险的概率,这也是这两年大热的 DevSecOps 的理念。

现在注入比较难挖了,但是也不是没有。

A04:2021- 不安全的设计

这是 2021 年新引入的一项安全风险,主要关注设计和业务流程上的风险。事实上,不安全的设计是一个比较宽泛的话题,可能存在于很多风险之中。这里我们指的是在产品设计过程中,通过安全规范的设计以及威胁建模等流程,那些能被我们检测和规避的安全威胁种类

A05:2021- 安全配置缺陷

与 2017 年清单相比,可以看到这项安全风险的排位有了些许的提升,也许你会觉得从第六名上升到第五名变化不大,但是就像我刚刚讲的——“一叶知秋”,有时候这种微小的变化却体现了宏观的技术发展趋势。随着技术架构向高度“可配置化”软件的迁移,这种风险类别的排位上升倒是并不令人惊讶。

以前的XML外部实体注入(XXE)就属于这一类别。

A06:2021- 危险和过时的组件

随着技术的蓬勃发展,大部分产品都会不同程度的依赖各种第三方组件;随着系统复杂度的提升和规模的扩大,也会出现组件更新不及时的情况。这些风险可能涉及的资产包括 OS、Web 中间件、DBMS、API、库等,从这个角度你就可以发现随着企业规模的扩大,在攻击者眼中的攻击点有多么广泛。

最近的log4j2就是第三方组件漏洞。

A07:2021- 识别和认证失败(重点关注)

确认用户的身份、认证过程以及 Session 管理是预防认证相关风险的关键点,简单来说,这一风险类别可能面临的攻击包括暴力破解、密码喷洒、弱口令、Session 管理不当等诸多问题。

A08:2021- 软件和数据完整性故障

作为新出现的一类安全威胁,这一分类主要关注于软件更新、关键数据以及“CI/CD”流水线的完整性校验。用比较直白的语言来说,现在大多数应用都不同程度依赖于外部的插件、库、模块以及第三方源,所有这些外部风险都可以通过一次不安全的“CI/CD”流水线直接引入到应用中;更进一步,应用的自动更新策略已经广泛普及,但是关于更新内容的完整性检测却没有跟上,这就导致软件更新可能直接引入安全风险。

这是属于供应链污染的一个类别。

A09:2021- 安全日志记录及监控失败

这一分类主要目的是提供更多信息,并且帮助我们去发现、评估及响应出现的入侵事件。为了达到这个目的,完善的安全日志记录以及持续的监控服务就显得尤为重要。虽然说起来简单,但是如何记录不同的事件及 API 活动记录、管理日志文件该如何存储和维护,这些都是需要我们考虑的问题。

A10:2021- 服务端请求伪造

现代 Web 应用普遍为终端用户提供了更多便捷的功能,这其中就包括获取一个目标的 URL 资源的功能,也正因为如此,SSRF 成为了一种快速攀升的威胁种类。一旦这类风险发生,尽管这些内网系统可能被保护在防火墙或者 VPN 之后,却很有可能会威胁到 Web 业务系统后端的内网系统。

后面重点关注的是:

  1. A01:2021- 权限控制失效
  2. A02:2021- 加密机制失效
  3. A07:2021- 识别和认证失败

漏洞挖掘365天挑战——Day002:OWASP Top 10 2021”的一个响应

发表评论

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

取消

Connecting to %s