导语:日前,Open Web Application Security Project (OWASP) 发布了新版本的OWASP Top 10漏洞排名。
背景
日前,Open Web Application Security Project (OWASP) 发布了新版本的OWASP Top 10漏洞,上次更新时间为2013年。从2004年至今,OWASP Top 10一共发布了5个版本,分别是2004,2007,2010,2013和2017版。
OWAST Top10
在这5个版本中,注入一直是应用安全威胁的第一位,但是其他几项的顺序和内容都有变化,2017版中出现了3个新的安全威胁,分别是A4-XML外部处理器漏洞(XXE),A8不安全的反序列化漏洞(Insecure Deserialization)和A10记录和监控不足风险(Insufficient Logging&Monitoring)。
2017版中的A5 Broken Access Control是由2013版的A4 Insecure Direct Object References和A7 Missing Function Level Access Control合并而来的。
排名的最终结果是根据用户的提交和开放讨论得出的。下面是2017版OWASP 2017 Top10的解读和与旧版本的比较。
A1:2017-Injection注入
注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未被恰当授权时访问数据。
A2:2017-Broken Authentication破坏身份认证
与认证和会话管理相关的应用函数经常被错误地应用,这就允许攻击者窃取密码、密钥、会话token,或者利用其他的应用错误来暂时或者永久地获取用户身份信息。
A3:2017-Sensitive Data Exposure敏感数据泄露
许多web应用和API不能合理的保护敏感数据,比如金融、医疗数据和PII。攻击者可能窃取或篡改这些弱保护的数据进行信用卡诈骗、身份窃取或者其他犯罪。敏感数据需要额外的保护,比如在存放和传输过程中的加密,在与浏览器进行交换时也需要特殊的预防措施。
A4:2017-XML External Entities (XXE)XML外部处理器漏洞
许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。
A5:2017-Broken Access Control失效的访问控制
仅允许认证的用户的限制没有得到适当的强制执行。攻击者可以利用这些权限来访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。
A6:2017-Security Misconfiguration安全配置错误
安全配置错误是常见的问题,这是不安全的默认配置、不完整或者ad hoc网络配置、开放云存储、错误配置的HTTP头、含有敏感信息的冗长错误信息造成的。除了要安全设定所有的操作系统、框架、库、应用外,还要及时进行系统更新和升级。
A7:2017-Cross-Site Scripting (XSS)跨站脚本攻击
当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或使用可以创建HTML或者JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。
A8:2017-Insecure Deserialization不安全的反序列化
不安全的反序列化漏洞经常导致远程代码执行。即使反序列化错误不导致远程代码执行,也可以被用于发起攻击,例如重放攻击、注入攻击和权限提升攻击等。
A9:2017-Using Components with Known Vulnerabilities使用含有已知漏洞的组件C
组件,比如库、框架和其他软件模块,是与应用相同权限运行的。如果一个有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。使用已知漏洞组件的应用和API可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。
A10:2017-Insufficient Logging & Monitoring记录和监控不足风险
记录和监控不足,加上没有与应急响应有效的结合,让攻击者可以进一步攻击系统、篡改、提取或者销毁数据。大多数的数据泄露研究显示,通常要经过200天以上,使用者才能察觉到数据泄露事件的发生,而且往往是外部机构而不是内部的监控系统发现数据泄露的事实。
旧版风险排名仍有参考性
这十大风险其实是一种风险框架,会因应技术发展而持续变动,企业和组织不能只将这10项视为内部唯一要解决的安全威胁。XSS风险排名从2013年排名第三名降到2017年第七名,主要是很多自动化的扫描工具,都已经内建XSS扫描,可以加快漏洞修补速度,使得整体XSS漏洞数量看起来比以往少,但XSS风险却没有因此减少。2013年排名第八的CSRF跨站伪造请求,今年名列第十三名。虽然许多开发框架多已内建CSRF风险防御机制,但仍然是需要关注的重要风险之一。
附 2004-2017 OWAST Top10
报告全文请点击右侧下载OWASP TOP 10 2017