OWASP全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。
圈内有这么一句话,“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了”。还有这么一句话,“这世界上只分两种公司,一种是被黑过,另一种是被黑了还不知道的”,那么你公司是哪种呢?随着互联网的爆发,安全漏洞也连年增长,2020年NVD漏洞数据库总计新增了19220个漏洞,这也是安全漏洞数量连续第四年创下新高,Web应用程序依然是漏洞的“主力军”。
这个Top10主要是基于超过40家从事应用程序安全业务的公司提交的数据,以及500位以上个人完成的行业调查。据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的漏洞。前10大风险项是根据这些流行数据选择和优先排序,并结合了对可利用性、可检测性和影响程度的一致性评估而形成。整个报告的权威性我个人觉得还是非常高的。
2
本篇我们先来了解一个名词,有助于后续的阅读
攻击向量(Attack Vector)
“向量”一词来自力学、解析几何中的有向线段,它可以形象化地表示为带箭头的线段,那么攻击向量可以类比的理解为攻击者到目标的一个有向线段,要是还觉得抽象,把“有向”换为“目标”,“线段”换位“方法”,串起来就是获取目标的方法,这个目标可以是网络,也可以是计算机。再用通俗一点的语言解释,攻击向量用来描述攻击者的攻击路径(方法)。常见的攻击向量包括病毒、网页、弹窗、注入、爆破等等。
说完这个名词后,我们来说说应用程序安全风险,其实就是攻击者通过应用程序中不同的链路,去试探可以攻击的点,然后逐个击破,最后达到他们不可告人的目的(窃取数据、致业务瘫痪等)。
其实早在2013年就出过一版,到2017进行了修订,变更对比如下图,可以看到排在首位的就是注入,这里我的理解是数据类的注入,比如sql注入、ldap注入、NoSql注入等等这些。同样是注入的还有xss注入,后面我将把这两个放一篇文章中对比着讲解。
3
Top1-注入
当用户把数据传输到服务后端,然后后端将数据放到解释器中进行翻译的时候,就有可能出现注入漏洞,比如SQL注入、NoSQL注入、OS注入和LDAP注入。解释器可能将用户发送的数据翻译为命令/数据库查询,如此一来用户就可以在没有权限的情况下去查看不属于用户本身的数据,翻译的指令甚至有可能提权控制服务器。
Top2-失效的身份认证
在应用程序里面进行认证的功能失效了,导致攻击者可以获取密码、token、session等 ,从而可能获取其他用户的身份认证,以此获取其他用户的数据。
Top3-敏感数据泄露
应用在本该对敏感数据进行加密的地方并未加密,导致可能被中间人攻击获取数据,比如金融行业/医疗行业的数据加密措施不到位,可能被人获取数据,从容进行诈骗。
Top4-XML外部实体
许多老版本或弱配置的XML解析器在处理XML文件内的外部实体时,会去运行其中的代码。外部实体可以使用文件URI关闭系统内部正在运行的文件,导致无法提供功能。
Top5-失效的访问控制
没有做有效的访问控制,对于已认证的用户的权限控制不当,导致攻击者能访问未授权的功能/数据。
Top6-安全配置错误
通常是因为使用系统、应用、框架等不安全的默认配置、临时配置并不完整、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息等导致。
Top7-跨站脚本(XSS)
当web页面包含不可信的数据,却没有进行有效的验证导致。XSS使得攻击者能够在受害者的浏览器中执行脚本,从而劫持会话,或重定向到恶意站点。
Top8-不安全的反序列化
不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,比如fastjson低版本、shiro低版本的利用链,这个在之前的文章里我有详细的讲解如何利用以及利用的原理。
Top9-使用含有已知漏洞的组件
使用含有漏洞的组件,并且拥有和应用程序一样的权限,比如低版本的OpenSSL有造成心脏滴血漏洞,容易泄露敏感数据。
Top10-不足的日志记录和监控
缺乏日志和监控,发生了安全事件无响应,攻击者可以进一步对系统攻击或者进一步开展横向攻击,导致产生更大的损失。
4
本文大概讲述下全文内容,后续会持续对每一个top进行详细的讲解及分析,敬请期待。
