OWASP Top 10 培训

介绍

• OWASP概述，其目的及在Web安全中的重要性。
• OWASP Top 10列表的解读。
  • A01:2021-失效的访问控制 从第五位上升至第一位；94%的应用测试了某种形式的失效访问控制。映射到失效访问控制的34个常见弱点枚举（CWE）在应用中出现的频率高于其他类别。
  • A02:2021-加密失败 上升一位至第二位，此前称为敏感数据暴露，这更像是一个广泛症状而非根本原因。重新聚焦于与加密相关的失败，这些失败通常导致敏感数据暴露或系统被攻陷。
  • A03:2021-注入 下滑至第三位。94%的应用测试了某种形式的注入，映射到该类的33个CWE在应用中出现的频率排名第二。跨站脚本（XSS）在本版中被纳入此类。
  • A04:2021-不安全设计 是2021年的新类别，关注设计缺陷相关的风险。如果我们真的希望在行业中“向左移”，则需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
  • A05:2021-安全配置错误 从上一版的第六位上升；90%的应用测试了某种形式的配置错误。随着更多软件转向高度可配置，这一类别上升并不令人意外。之前的外部实体（XXE）类别现已被纳入此类。
  • A06:2021-易受攻击和过时的组件 此前称为使用已知漏洞的组件，在Top 10社区调查中排名第二，但通过数据分析也足以进入Top 10。该类别从2017年的第九位上升，是一个我们在测试和评估风险时难以解决的问题。它是唯一一个没有任何CVE映射到其CWE的类别，因此默认的漏洞利用和影响权重为5.0被计入其评分。
  • A07:2021-身份验证和认证失败 此前称为失效的身份验证，从第二位下滑，现包括更多与身份验证失败相关的CWE。这一类别仍然是Top 10的重要组成部分，但标准化框架的普及似乎有所帮助。
  • A08:2021-软件和数据完整性失败 是2021年的新类别，关注与软件更新、关键数据和CI/CD管道相关的假设，而未经完整性验证。映射到该类的10个CWE的CVE/CVSS数据中，影响权重最高。2017年的不安全反序列化现已被纳入这一更大的类别。
  • A09:2021-安全日志和监控失败 此前称为日志记录和监控不足，从行业调查中新增（第三位），从之前的第十位上升。该类别扩展为包括更多类型的失败，测试起来具有挑战性，且在CVE/CVSS数据中表现不佳。然而，这一类别的失败会直接影响可见性、事件警报和取证。
  • A10:2021-服务器端请求伪造（SSRF） 从Top 10社区调查中新增（第一位）。数据显示其发生率相对较低，但测试覆盖率高于平均水平，漏洞利用和影响潜力评分也高于平均水平。这一类别代表了安全社区成员认为重要的场景，尽管目前数据尚未体现。

失效的访问控制

• 失效访问控制的实际案例。
• 安全的访问控制及最佳实践。

加密失败

• 详细分析加密失败，如弱加密算法或不当的密钥管理。
• 强加密机制、安全协议（SSL/TLS）的重要性，以及现代加密在Web安全中的应用实例。

注入攻击

• 详细解析SQL、NoSQL、OS和LDAP注入。
• 使用预处理语句、参数化查询和输入转义的缓解技术。

不安全设计

• 探索可能导致漏洞的设计缺陷，如不当的输入验证。
• 安全架构和设计原则的策略。

安全配置错误

• 配置错误的实际案例。
• 防止配置错误的步骤，包括配置管理和自动化工具。

易受攻击和过时的组件

• 识别使用易受攻击的库和框架的风险。
• 依赖管理和更新的最佳实践。

身份验证和认证失败

• 常见的身份验证问题。
• 安全的身份验证策略，如多因素认证和正确的会话处理。

软件和数据完整性失败

• 关注不受信任的软件更新和数据篡改等问题。
• 安全的更新机制和数据完整性检查。

安全日志和监控失败

• 记录安全相关信息及监控可疑活动的重要性。
• 正确日志记录和实时监控的工具与实践，以便及早发现入侵。

服务器端请求伪造（SSRF）

• 解释攻击者如何利用SSRF漏洞访问内部系统。
• 缓解策略，包括正确的输入验证和防火墙配置。

最佳实践与安全编码

• 关于安全编码最佳实践的全面讨论。
• 漏洞检测工具。

总结与下一步