OWASP Top 10培訓

介紹

• OWASP概述，其目的及在Web安全中的重要性。
• OWASP Top 10列表的解讀。
  • A01:2021-失效的訪問控制 從第五位上升至第一位；94%的應用測試了某種形式的失效訪問控制。映射到失效訪問控制的34個常見弱點枚舉（CWE）在應用中出現的頻率高於其他類別。
  • A02:2021-加密失敗 上升一位至第二位，此前稱爲敏感數據暴露，這更像是一個廣泛症狀而非根本原因。重新聚焦於與加密相關的失敗，這些失敗通常導致敏感數據暴露或系統被攻陷。
  • A03:2021-注入 下滑至第三位。94%的應用測試了某種形式的注入，映射到該類的33個CWE在應用中出現的頻率排名第二。跨站腳本（XSS）在本版中被納入此類。
  • A04:2021-不安全設計 是2021年的新類別，關注設計缺陷相關的風險。如果我們真的希望在行業中“向左移”，則需要更多地使用威脅建模、安全設計模式和原則以及參考架構。
  • A05:2021-安全配置錯誤 從上一版的第六位上升；90%的應用測試了某種形式的配置錯誤。隨着更多軟件轉向高度可配置，這一類別上升並不令人意外。之前的外部實體（XXE）類別現已被納入此類。
  • A06:2021-易受攻擊和過時的組件 此前稱爲使用已知漏洞的組件，在Top 10社區調查中排名第二，但通過數據分析也足以進入Top 10。該類別從2017年的第九位上升，是一個我們在測試和評估風險時難以解決的問題。它是唯一一個沒有任何CVE映射到其CWE的類別，因此默認的漏洞利用和影響權重爲5.0被計入其評分。
  • A07:2021-身份驗證和認證失敗 此前稱爲失效的身份驗證，從第二位下滑，現包括更多與身份驗證失敗相關的CWE。這一類別仍然是Top 10的重要組成部分，但標準化框架的普及似乎有所幫助。
  • A08:2021-軟件和數據完整性失敗 是2021年的新類別，關注與軟件更新、關鍵數據和CI/CD管道相關的假設，而未經完整性驗證。映射到該類的10個CWE的CVE/CVSS數據中，影響權重最高。2017年的不安全反序列化現已被納入這一更大的類別。
  • A09:2021-安全日誌和監控失敗 此前稱爲日誌記錄和監控不足，從行業調查中新增（第三位），從之前的第十位上升。該類別擴展爲包括更多類型的失敗，測試起來具有挑戰性，且在CVE/CVSS數據中表現不佳。然而，這一類別的失敗會直接影響可見性、事件警報和取證。
  • A10:2021-服務器端請求僞造（SSRF） 從Top 10社區調查中新增（第一位）。數據顯示其發生率相對較低，但測試覆蓋率高於平均水平，漏洞利用和影響潛力評分也高於平均水平。這一類別代表了安全社區成員認爲重要的場景，儘管目前數據尚未體現。

失效的訪問控制

• 失效訪問控制的實際案例。
• 安全的訪問控制及最佳實踐。

加密失敗

• 詳細分析加密失敗，如弱加密算法或不當的密鑰管理。
• 強加密機制、安全協議（SSL/TLS）的重要性，以及現代加密在Web安全中的應用實例。

注入攻擊

• 詳細解析SQL、NoSQL、OS和LDAP注入。
• 使用預處理語句、參數化查詢和輸入轉義的緩解技術。

不安全設計

• 探索可能導致漏洞的設計缺陷，如不當的輸入驗證。
• 安全架構和設計原則的策略。

安全配置錯誤

• 配置錯誤的實際案例。
• 防止配置錯誤的步驟，包括配置管理和自動化工具。

易受攻擊和過時的組件

• 識別使用易受攻擊的庫和框架的風險。
• 依賴管理和更新的最佳實踐。

身份驗證和認證失敗

• 常見的身份驗證問題。
• 安全的身份驗證策略，如多因素認證和正確的會話處理。

軟件和數據完整性失敗

• 關注不受信任的軟件更新和數據篡改等問題。
• 安全的更新機制和數據完整性檢查。

安全日誌和監控失敗

• 記錄安全相關信息及監控可疑活動的重要性。
• 正確日誌記錄和即時監控的工具與實踐，以便及早發現入侵。

服務器端請求僞造（SSRF）

• 解釋攻擊者如何利用SSRF漏洞訪問內部系統。
• 緩解策略，包括正確的輸入驗證和防火牆配置。

最佳實踐與安全編碼

• 關於安全編碼最佳實踐的全面討論。
• 漏洞檢測工具。

總結與下一步