睽違了四年,OWASP更新了!

OWASP(The Open Web Application Security Project)TOP 10,是將常見的網路安全弱點進行歸納、分析,擬定出十大網路安全上的風險並提供基本的保護及預防措施,目的是協助研擬軟體安全之標準、工具與技術文件,且長期致力於協助企業單位深入瞭解並改善各單位網站上的安全性,因此許多政府單位、企業公司也都會關注,甚至視為指標。
最早在2003年12月公布了第一版的OWASP TOP 10,到了2004、2007也紛紛推出了改版。直到2010年,首度從風險角度出發,並歸納出網路威脅前十名,而它終於也在2017年11月20日推出了2017年十大風險正式版。

而在2017年公布的新版本又有了新的做法,本次新版的十大風險中,有三個全新的資安風險,分別為XML External Entity(XXE)、Insecure Deserialization及Insufficient Logging&Monitoring。這三個弱點與近期興起的微服務有關,為了達到快速提供服務,許多廠商可能在開發過程中遺漏嚴謹的資安驗證與授權的動作,造成系統存在資訊外洩的風險。

【注入攻擊和無效的身分驗證,仍位居第一、第二名】

No.1是注入攻擊(Injection),不單單只是我們熟知的SQL Injection(隱碼攻擊),只要在輸入欄位的時候沒妥善進行檢查或驗證,就可能遭受注入攻擊。

No.2是無效的身分驗證(Broken Authentication),在網站上經常需要處理身分驗證及Session管理,但若發生缺失就可能導致攻擊者取得更高權限進行攻擊行為。

No.3是敏感資料外洩(Sensitive Data Exposure),由原先的第六名進步到了第三名,若網站無法正確保護積敏資訊時,會讓攻擊者能有機竊取、竄改這些積敏資訊進而攻擊。

No.4是XML外部處理器漏洞(XML External Entity, XXE),在使用或處理XML與法時,若無法正確地做好功能限制,可能會導致攻擊者進行越權並竊取機敏資訊。

No.5是無效的存取控管(Broken Access Control),而此弱點為原先2013版中的Inscure Direct Object Reference和Missing Function Level Access Control所合併的。該威脅主要是指系統開發時若未嚴格的做好存取控管,可能會導致駭客利用此漏洞存取未經授權的功能或更改訪問權限。

No.6是不安全的組態設定(Security Misconfiguration),經常使用不安全的預設值,像是作業系統、框架、函式庫及應用程式,避免使用預設值設定並時常必須做到系統更新與升級,確保系統安全與時並進。

No.7是跨站攻擊(Cross-Site Scripting, XSS),網頁跨站攻擊是利用動態網頁的特性,當網站缺乏適當的驗證時,攻擊者就利用此弱點在瀏覽器中執行惡意程式碼,並挾持使用的Session進行造成攻擊。

No.8是不安全的反序列化漏洞(Insecure Deserialization),此威脅為不安全的反序列化漏洞可能導致駭客利用遠端執行任意程式碼進行重送攻擊、注入攻擊及權限提升攻擊。

No.9是使用已有漏洞的元件(Using Components with Known Vulnerabilities),使用具有已知漏洞的元件產生的脆弱點,駭客可透過此脆弱點破壞應用程式中的防禦措施,並進一步造成更嚴重的傷害。

No.10是紀錄與監控不足風險(Insufficient Logging&Monitoring),當記錄與監控不足或不恰當時,會導致在發生資安事件的情況下無法有足夠的資料進行處理,也使攻擊者有機會進一步進行攻擊系統,進而造成損失。

【小提醒】

最後提醒大家,網際網路越來越發達,面對資安漏洞的時候必須鑑往知來,避免相同的資安問題一再發生,並隨時注意最新的資安訊息。另一方面,養成良好的資安習慣,並定期執行資安檢測、持續且確實改進,絕對不要相信所謂的絕對安全!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。