OWASP Top 10 培训

介绍

• OWASP概述、其目的和在Web安全中的重要性
• OWASP 前 10 名清单的说明
  • A01：2021-Broken Access Control 从第五位上升;94% 的应用程式经过了某种形式的访问控制故障测试。映射到 Broken Access Control 的 34 个常见弱点枚举 （CWE） 在应用程式中的出现次数比任何其他类别都多。
  • A02：2021-加密故障 上升一位至 #2，以前称为敏感数据泄露，这是广泛的症状，而不是根本原因。这里重新关注与加密相关的故障，这通常会导致敏感数据泄露或系统泄露。
  • A03：2021 - Injection 向下滑动到第三个位置。94% 的申请都经过了某种形式的注射测试，而映射到该类别的 33 个 CWE 在申请中出现次数第二多。跨网站脚本现在是此版本的一部分。
  • A04：2021-不安全设计 是 2021 年的一个新类别，重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“向左移动”，就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
  • A05：2021 - 安全错误配置 从上一版本的 #6 上升;90% 的应用程式都经过了某种形式的错误配置测试。随著更多人转向高度可配置的软体，看到这一类别的上升也就不足为奇了。XML 外部实体 （XXE） 的先前类别现在是此类别的一部分。
  • A06：2021-易受攻击和过时的元件 之前被命名为使用具有已知漏洞的元件，在前 10 名社区调查中排名 #2，但也有足够的数据通过数据分析进入前 10 名。该类别从 2017 年的 #9 上升，是我们努力测试和评估风险的已知问题。它是唯一一个没有将任何常见漏洞和披露 （CVE） 映射到所包含 CWE 的类别，因此预设漏洞利用和影响权重 5.0 被计入其分数。
  • A07：2021-Identification and Authentication Failures 之前是 Broken Authentication，现在从第二位下滑，现在包括与识别失败更相关的 CWE。此类别仍然是前 10 名不可或缺的一部分，但标准化框架的可用性增加似乎有所说明。
  • A08：2021 - 软体和数据完整性故障是 2021 年的新类别，侧重于在不验证完整性的情况下做出与软体更新、关键数据和 CI/CD 管道相关的假设。映射到此类别中 10 个 CWE 的常见漏洞和披露/通用漏洞评分系统 （CVE/CVSS） 数据中权重最高的影响之一。2017 年的不安全反序列化现在是这个更大类别的一部分。
  • A09：2021-安全日志记录和监控故障 以前是不足的日志记录和监控，是从行业调查（#3）中添加的，从之前的#10上升。此类别已扩展为包括更多类型的故障，难以测试，并且在 CVE/CVSS 资料中没有得到很好的表示。但是，此类别中的故障会直接影响可见性、事件警报和取证。
  • A10：2021-伺服器端请求伪造 是从前 10 名社区调查 （#1） 中添加的。数据显示，发病率相对较低，测试覆盖率高于平均水准，漏洞利用和影响潜力的评级高于平均水准。此类别表示安全社区成员告诉我们这很重要的场景，即使目前数据中没有说明这一点。

损坏的 Access 控制件

• 访问控制失效的实际范例
• 安全访问控制和最佳实践

加密失败

• 详细分析加密演算法较弱或金钥管理不当等加密故障
• 强大的加密机制、安全协定 （SSL/TLS） 和现代加密技术在 Web 安全中的重要性

注入攻击

• SQL、NoSQL、OS 和 LDAP 注射的详细分类
• 使用准备好的语句、参数化查询和转义输入的缓解技术

不安全的设计

• 探索可能导致漏洞的设计缺陷，例如不正确的输入验证
• 安全架构和安全设计原则的策略

安全配置错误

• 错误配置的真实范例
• 防止配置错误的步骤，包括配置管理和自动化工具

易受攻击和过时的元件

• 识别使用易受攻击的库和框架的风险
• 依赖项管理和更新的最佳实践

识别和身份验证失败

• 常见身份验证问题
• 安全的身份验证策略，例如多因素身份验证和适当的会话处理

软体和数据完整性故障

• 关注不受信任的软体更新和数据篡改等问题
• 安全更新机制和数据完整性检查

安全日志记录和监控故障

• 记录安全相关信息和监控可疑活动的重要性
• 用于正确日志记录和实时监控的工具和实践，以便及早发现违规行为

伺服器端请求伪造 （SSRF）

• 攻击者如何利用 SSRF 漏洞存取内部系统的说明
• 缓解策略，包括适当的输入验证和防火墙配置

最佳实践和安全编码

• 关于安全编码最佳实践的全面讨论
• 漏洞检测工具

总结和后续步骤