OWASP Top 10培訓

簡介

• OWASP概述，其目的及在Web安全中的重要性
• OWASP Top 10列表的講解
  • A01:2021-訪問控制失效 從第五位上升；94%的應用程序測試了某種形式的訪問控制失效。映射到訪問控制失效的34個常見弱點枚舉（CWE）在應用程序中的出現次數超過其他任何類別。
  • A02:2021-加密機制失效 上升一位至第二位，之前稱爲敏感數據泄露，這是一個廣泛的現象而非根本原因。重新聚焦於與加密相關的失效，這通常會導致敏感數據泄露或系統被攻破。
  • A03:2021-注入攻擊 下滑至第三位。94%的應用程序測試了某種形式的注入，映射到該類別的33個CWE在應用程序中出現次數第二多。本版中，跨站腳本攻擊（XSS）被歸入此類別。
  • A04:2021-不安全設計 是2021年的新類別，重點關注與設計缺陷相關的風險。如果行業真正想要“左移”，則需要更多使用威脅建模、安全設計模式和原則以及參考架構。
  • A05:2021-安全配置錯誤 從上版的第六位上升；90%的應用程序測試了某種形式的配置錯誤。隨着更多軟件轉向高度可配置，該類別上升並不令人意外。之前的XML外部實體（XXE）類別現在歸入此類別。
  • A06:2021-易受攻擊和過時的組件 之前稱爲使用已知漏洞的組件，在Top 10社區調查中排名第二，但也有足夠的數據通過分析進入Top 10。該類別從2017年的第九位上升，是一個我們難以測試和評估風險的已知問題。這是唯一一個沒有映射到任何CVE的類別，因此默認的利用和影響權重爲5.0。
  • A07:2021-身份驗證和認證失效 之前稱爲身份驗證失效，從第二位下滑，現在包括更多與身份驗證失效相關的CWE。該類別仍然是Top 10的重要組成部分，但標準化框架的可用性似乎有所幫助。
  • A08:2021-軟件和數據完整性失效 是2021年的新類別，重點關注與軟件更新、關鍵數據和CI/CD管道相關的假設，而不驗證完整性。映射到該類別的10個CWE的CVE/CVSS數據中，影響權重最高。2017年的不安全反序列化現在歸入此更大類別。
  • A09:2021-安全日誌和監控失效 之前稱爲日誌記錄和監控不足，從行業調查中新增（第三位），從上版的第十位上升。該類別擴展爲包括更多類型的失效，難以測試，且在CVE/CVSS數據中表現不佳。然而，該類別中的失效會直接影響可見性、事件警報和取證。
  • A10:2021-服務器端請求僞造（SSRF） 從Top 10社區調查中新增（第一位）。數據顯示，其發生率相對較低，但測試覆蓋率高於平均水平，利用和影響潛力評分也高於平均水平。該類別代表了安全社區成員告訴我們這是重要的場景，儘管數據尚未體現。

訪問控制失效

• 訪問控制失效的實際案例
• 安全的訪問控制和最佳實踐

加密機制失效

• 詳細分析加密機制失效，如弱加密算法或密鑰管理不當
• 強加密機制、安全協議（SSL/TLS）的重要性，以及現代加密在Web安全中的示例

注入攻擊

• SQL、NoSQL、OS和LDAP注入的詳細分析
• 使用預編譯語句、參數化查詢和輸入轉義的緩解技術

不安全設計

• 探討可能導致漏洞的設計缺陷，如不當的輸入驗證
• 安全架構和安全設計原則的策略

安全配置錯誤

• 配置錯誤的實際案例
• 防止配置錯誤的步驟，包括配置管理和自動化工具

易受攻擊和過時的組件

• 識別使用易受攻擊的庫和框架的風險
• 依賴管理和更新的最佳實踐

身份驗證和認證失效

• 常見的身份驗證問題
• 安全的身份驗證策略，如多因素認證和正確的會話處理

軟件和數據完整性失效

• 關注不受信任的軟件更新和數據篡改等問題
• 安全的更新機制和數據完整性檢查

安全日誌和監控失效

• 記錄安全相關信息並監控可疑活動的重要性
• 正確日誌記錄和即時監控以早期檢測泄露的工具和實踐

服務器端請求僞造（SSRF）

• 攻擊者如何利用SSRF漏洞訪問內部系統的解釋
• 緩解策略，包括正確的輸入驗證和防火牆配置

最佳實踐和安全編碼

• 全面討論安全編碼的最佳實踐
• 漏洞檢測工具

總結與下一步