OWASP Top 10 培训

简介

• OWASP概述，其目的及在Web安全中的重要性
• OWASP Top 10列表的讲解
  • A01:2021-访问控制失效 从第五位上升；94%的应用程序测试了某种形式的访问控制失效。映射到访问控制失效的34个常见弱点枚举（CWE）在应用程序中的出现次数超过其他任何类别。
  • A02:2021-加密机制失效 上升一位至第二位，之前称为敏感数据泄露，这是一个广泛的现象而非根本原因。重新聚焦于与加密相关的失效，这通常会导致敏感数据泄露或系统被攻破。
  • A03:2021-注入攻击 下滑至第三位。94%的应用程序测试了某种形式的注入，映射到该类别的33个CWE在应用程序中出现次数第二多。本版中，跨站脚本攻击（XSS）被归入此类别。
  • A04:2021-不安全设计 是2021年的新类别，重点关注与设计缺陷相关的风险。如果行业真正想要“左移”，则需要更多使用威胁建模、安全设计模式和原则以及参考架构。
  • A05:2021-安全配置错误 从上版的第六位上升；90%的应用程序测试了某种形式的配置错误。随着更多软件转向高度可配置，该类别上升并不令人意外。之前的XML外部实体（XXE）类别现在归入此类别。
  • A06:2021-易受攻击和过时的组件 之前称为使用已知漏洞的组件，在Top 10社区调查中排名第二，但也有足够的数据通过分析进入Top 10。该类别从2017年的第九位上升，是一个我们难以测试和评估风险的已知问题。这是唯一一个没有映射到任何CVE的类别，因此默认的利用和影响权重为5.0。
  • A07:2021-身份验证和认证失效 之前称为身份验证失效，从第二位下滑，现在包括更多与身份验证失效相关的CWE。该类别仍然是Top 10的重要组成部分，但标准化框架的可用性似乎有所帮助。
  • A08:2021-软件和数据完整性失效 是2021年的新类别，重点关注与软件更新、关键数据和CI/CD管道相关的假设，而不验证完整性。映射到该类别的10个CWE的CVE/CVSS数据中，影响权重最高。2017年的不安全反序列化现在归入此更大类别。
  • A09:2021-安全日志和监控失效 之前称为日志记录和监控不足，从行业调查中新增（第三位），从上版的第十位上升。该类别扩展为包括更多类型的失效，难以测试，且在CVE/CVSS数据中表现不佳。然而，该类别中的失效会直接影响可见性、事件警报和取证。
  • A10:2021-服务器端请求伪造（SSRF） 从Top 10社区调查中新增（第一位）。数据显示，其发生率相对较低，但测试覆盖率高于平均水平，利用和影响潜力评分也高于平均水平。该类别代表了安全社区成员告诉我们这是重要的场景，尽管数据尚未体现。

访问控制失效

• 访问控制失效的实际案例
• 安全的访问控制和最佳实践

加密机制失效

• 详细分析加密机制失效，如弱加密算法或密钥管理不当
• 强加密机制、安全协议（SSL/TLS）的重要性，以及现代加密在Web安全中的示例

注入攻击

• SQL、NoSQL、OS和LDAP注入的详细分析
• 使用预编译语句、参数化查询和输入转义的缓解技术

不安全设计

• 探讨可能导致漏洞的设计缺陷，如不当的输入验证
• 安全架构和安全设计原则的策略

安全配置错误

• 配置错误的实际案例
• 防止配置错误的步骤，包括配置管理和自动化工具

易受攻击和过时的组件

• 识别使用易受攻击的库和框架的风险
• 依赖管理和更新的最佳实践

身份验证和认证失效

• 常见的身份验证问题
• 安全的身份验证策略，如多因素认证和正确的会话处理

软件和数据完整性失效

• 关注不受信任的软件更新和数据篡改等问题
• 安全的更新机制和数据完整性检查

安全日志和监控失效

• 记录安全相关信息并监控可疑活动的重要性
• 正确日志记录和实时监控以早期检测泄露的工具和实践

服务器端请求伪造（SSRF）

• 攻击者如何利用SSRF漏洞访问内部系统的解释
• 缓解策略，包括正确的输入验证和防火墙配置

最佳实践和安全编码

• 全面讨论安全编码的最佳实践
• 漏洞检测工具

总结与下一步