By Robert、Yun
OWASP全名為The Open Web Application Security Project(開放式Web應用程式安全專案),是一個致力於提高網站應用安全的社群組織,其底下有非常多的專案項目。當中的OWASP Top 10是其中一項知名的項目,其核心內容為提出十大網站安全風險弱點,致力於協助企業單位深入瞭解並改善網站上的安全性,因此許多政府單位、企業公司都會關注,甚至視為指標。
(延伸閱讀:OWASP MOBILE TOP 10 基本介紹)
新版本的差異
OWASP Top 10約每3~4年會更新並公告新版本,目前最新版本為2021年09月24日推出。與2017年的版本相比,2021年的版本多了3個新的弱點類型,但2017年的十大弱點並沒有被移除,而是調整了名稱或與其他的弱點合併。
OWASP Top 10 2021弱點簡介
A01 權限控制失效
指權限控制不當,讓使用者執行預期權限外的行為。此弱點通常導致資料外洩、資料被竄改或損毀等。
A02 加密機制失效
針對敏感資料,使用弱加密演算法進行加密,或進行資料傳輸時未加密。例如:以明文傳輸、以明文儲存,或使用弱加密演算法結果遭到破解。
(延伸閱讀:網址列小鎖的意義|你知道嗎?)
A03 注入式攻擊
常見的注入式攻擊如SQL Injection、Command Injection、Cross Site Scripting(XSS)等。通常是應用程式未驗證或過濾使用者提供的資料,因此被攻擊者注入特殊語法,而該語法可被執行或觸發。
(延伸閱讀:Code Injection Attack – SQL Injection)
(延伸閱讀:Code Injection Attack – Cross-Site Scripting Attack)
A04 不安全設計(新)
在應用程式設計時,沒有針對該被保護的內容實作防護措施,進而被有心人士利用。
A05 安全設定缺陷
指系統管理或配置不當導致的安全性弱點。例如:啟用不必要的服務、頁面或帳號,向使用者暴露過多的錯誤資訊,或是因系統升級導致不安全的設定等。
A06 危險或過舊的元件
指使用已不支援更新或具已知弱點的元件、未定期執行掃描及更新、,或未針對更新的程式做相容測試等,可能成為被惡意利用的漏洞。
A07 認證及驗證機制失效
指使用者的身分、認證、session管理等存在漏洞。例如:登入口可被暴力破解或其他自動化攻擊,使用預設或常見的弱密碼被輕易破解等。
(延伸閱讀:密碼的破解與防禦)
A08 軟體及資料完整性失效(新)
由於應用程式缺乏完整性驗證之功能,導致資料被竄改。例如:程式碼遭植入惡意程式碼、接收來自不安全的來源之資料等。
A09 資安記錄及監控失效
指應稽核紀錄的事件未記錄,或於警告及錯誤發生時,未產生明確的日誌紀錄等。可能造成在資安事件發生時,讓事件難以被察覺或調查。
A10 伺服端請求偽造(新)
當網站應用程式在取得遠端資源時,未驗證使用者提供的資料,此時就會發生偽造伺服端請求。攻擊者可能利用此弱點,存取內部資料或服務。
參考資料