owasp2021top10漏洞简介

Posted 2022-02-07 雨下整夜

官方:https://owasp.org/Top10/zh_TW/A00_2021_Introduction/

接下来简单对各个漏洞再做个描述

top1：权限控制失效(Broken Access Control)

• 文件包含/目录遍历
• 权限绕过（水平越权）
• 权限提升（垂直越权）
• 不安全直接对象的引用

top2：加密失败（Cryptographic Failure）

• 敏感数据传输（通过HTTP、FTP、SMTP等）或以明文形式存储（在数据库、文件等中）。
• 使用旧的或较弱的加密算法
• 使用弱加密密钥或默认加密密钥，或重复使用受损密钥
• 与服务器通信时未强制加密或未验证服务器证书。

top3：注入(injection)

• SQL/NoSQL注入
• 命令注入
• 服务器端模板注入
• 头部注射
• 内容注入（XSS、HTML注入、CSS注入）

top4：不安全设计（ Insecure Design）

• 缺少用户输入边界可能会导致缓冲区溢出等问题

• 使用不安全的API或函数可能会导致妥协：例如，考虑使用没有任何种子的随机数，或者在不考虑嵌入文件可能具有的绝对或相对路径的情况下提取归档文件。

• 使用比所需权限更高权限的应用程序。

top5：安全配置错误（Security Misconfiguration）

在新的OWASP前十名列表中，XXE和安全错误配置（2017年的列表）被合并为安全错误配置。

• 过度许可的特权被分配给实体
• 启用了不必要的功能或服务
• 默认帐户保持激活状态，但是默认密码不变
• 安全标头未发送或权限过大（例如，权限过大的CORS或CSP策略）
• 未启用安全功能（防火墙规则、SELinux、Windows Defender等）

top6：Vulnerable and Outdated Components

• 客户端和服务器端代码中的易受攻击组件（操作系统或软件包、应用程序、运行时环境）。
• 不安全的软件配置
• 正在使用的组件的依赖关系链中的旧的/未修补的依赖关系。

top7：识别和身份验证失败 Identification and Authentication Failures

• 无法防止自动攻击，如凭证内容或暴力破解密码
• 密码重置或恢复流程中存在缺陷
• 在电子邮件/密码更新、注销、不活动、重新登录后不处理（使其失效或循环）会话标识符

top8：软件和数据完整性故障（Software and Data Integrity Failures）

维护

• 始终确保您使用的应用程序是可信的，并且使用了合理的安全措施
• 作为一名开发人员，请确保应用程序已签名，并且受信任的数据源也是防篡改的
• 确保您的CI/CD管道是安全的，并且没有任何恶意代码进入
• 在代码进入生产之前对其进行审核
• 经常使用你的软件，以确保高安全级别

top9：安全日志记录和监控故障 （Security Logging and Monitoring Failures）

• 登录和失败的尝试未被记录
• 如果本地保存日志的应用程序服务器出现故障，则未备份日志
• 不提供任何有价值的信息或见解的模糊或不正确的日志
• 监控系统无法检测可疑活动或无法（近）实时发出警报
• 缺少监控和警报系统
• 日志不受完整性保护

top10：服务器端请求伪造 （Server-Side Request Forgery）

也就是ssrf

• 向提供的webhook URL发送GET/POST请求的应用程序
• 显示URL预览的应用程序