金御网安

OWASP Top 10 2017 Released

发布时间:4年前热度: 1195 ℃评论数:

OWASP Top 10 Most Critical Web Application Security Risks

      The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

      We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

       The OWASP Mobile Security Project is a centralized resource intended to give developers and security teams the resources they need to build and maintain secure mobile applications. Through the project, our goal is to classify mobile security risks and provide developmental controls to reduce their impact or likelihood of exploitation.

      Our primary focus is at the application layer. While we take into consideration the underlying mobile platform and carrier inherent risks when threat modeling and building controls, we are targeting the areas that the average developer can make a difference. Additionally, we focus not only on the mobile applications deployed to end user devices, but also on the broader server-side infrastructure which the mobile apps communicate with. We focus heavily on the integration between the mobile application, remote authentication services, and cloud platform-specific features.

     OWASP  TOP  10  2017正式发布!!!

t.png

aaa.png

top2.png

   OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。OWASP多年来经历了几次迭代。 

OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年发布。

    OWASP在业界影响力:

  •      OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联 邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则
  • 国际信用卡数据安全技术PCI标准更将其列为必要组件
  • 为美国国防信息系统局(DISA)应用安全和开发清单参考
  • 为欧洲网络与信息安全局(ENISA), 云计算风险评估参考
  • 为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南
  • 为美国国家安全局/中央安全局, 可管理的网络计划提供参考
  • 为英国GovCERTUK提供SQL注入参考
  • 为欧洲网络与信息安全局(ENISA), 云计算风险评估提供参考

  • OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准.

  • The Open Web Application Security Project (OWASP) is an open community dedicated to enabling organizations to develop, purchase, and maintain applications and APIs that can be trusted. 

2013版至2017版改变了哪些内容?

在过去的十年中,特别是最近几年,应用程序的基本结构发生了重大变化:

 • JavaScript 现在是Web的主要开发语言。node.js和现代的 Web 框架,如:Bootstrap、Electron、Angular、React,在许多其他的 框架中,这些曾经服务器上的源,现在运行在不受信的浏览器上。 • 使用JavaScript框架(如:Angular和React)编写的单页应用程序,允许创建高度模块化的前端用户体验,更不用说使用与单页应 用程序相同API的移动应用程序的兴起和增长。

 • 使用node.js和Spring Boot编写的微服务正在替代使用EJB的陈旧企业服务总线应用程序。那些从未期望直接与互联网沟通的旧代 码,现在正位于 API 或RESTful Web 服务的后面。这些代码所依据的假设,如受信的调用方,其是根本失效的。 由数据支撑的新风险类型

 • A4:2017 XML外部实体(XXE),是一个主要由SAST数据集支撑的新类型。 由社区支撑的新风险类型 我们要求社区对两个前瞻的弱点类别进行洞察。在516个审查意见提交后,删除了数据已经支撑的问题(敏感数据暴露和 XXE) 后,这两个新问题为:

 • A8:2017-不安全的反序列化,负责最严重的安全违规行为之一;

 • A10:2017-不足的日志记录和监视,缺乏可以防止或明显延迟恶意活动和破坏安全检测、事件响应和数字取证的安全措施,。 落榜但仍未忘记的风险类型 • “A4不安全的直接对象引用”和“A7功能级访问控制缺失”合并成为“A5:2017 失效的访问控制”。

 • “A8 CSRF”。现在,只有不到5%的数据集支持 CSRF,它已位于第13位。

 • “A10未验证的重定向和转发”。现在,只有不到1%的数据集支持该项风险,它已位于第25位。 

owasptop10cmm.png

001.png

002.png

2017 OWASP Top10威胁解读(*排名是根据用户意见和公开讨论编写的)

A1:2017-Injection(注入漏洞)

当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻击者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问数据。

A2:2017-BrokenAuthentication(中断身份认证)

与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌,或者利用其他的应用漏洞来暂时或永久地获取用户身份信息。

A3:2017-Sensitive DataExposure(敏感数据泄露)

许多web应用程序和API不能正确的保护敏感数据,如金融、医疗保健和PII(个人身份信息)等。攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为。在缺少额外保护(例如,在存放和传输过程中加密,且在与浏览器进行交换时需要特别谨慎)的情况下,敏感数据可能会受到损害。

A4:2017-XML ExternalEntities(XXE)XML外部处理器漏洞

许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可用于泄露内部文件,通过使用文件URI处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务攻击等手段。

A5:2017-Broken AccessControl(中断访问控制)

限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等。

A6:2017-SecurityMisconfiguration(安全配置错误)

安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整或ad hoc配置,开放云存储,错误配置的HTTP标头,以及包含敏感信息的详细错误信息造成的。所有的操作系统、框架、库、应用程序都需要进行安全配置外,还必须要及时进行系统更新和升级。

A7:2017-Cross-SiteScripting(XSS)跨站脚本攻击

如果应用程序在未经适当验证或转义的情况下,能够在新网页中包含不受信任的数据,或是使用可以创建HTML或者JavaScript的浏览器API更新包含用户提供的数据的现有网页,就会出现XSS漏洞。XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。

A8:2017-InsecureDeserialization(不安全的反序列化)

不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行,也可以被用来执行攻击,包括重放攻击、注入攻击以及权限提升攻击等。

A9:2017-UsingComponents with Known Vulnerabilities(使用含有已知漏洞的组件)

组件(如库、框架和其他软件模块)是以与应用程序相同的权限运行的。如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机。使用已知漏洞组件的应用程序和API可能会破坏应用程序的防御系统,从而启动各种形式的攻击,造成更为严重的影响。

A10:2017-InsufficientLogging & Monitoring(不足的记录和监控漏洞)

不足的记录和监控漏洞,再加上事件响应能力欠缺以及缺少有效的整合,使得攻击者可以进一步攻击系统,维持其持久性,转而攻击更多的系统,并篡改、提取或销毁数据。大部分的数据泄露研究显示,检测出发生数据泄漏的时间通常需要超过200天,而且通常是外部机构率先发现数据泄漏的事实,而不是通过内部的审计流程或监控发现的。


Secking Cloud WAF 为金融、电商、O2O、互联网+、游戏、政府等各类网站的 Web 应用安全保驾护航,应用场景如下:

防数据泄露

黑客对金融、电商、企业网站进行扫描,通过 SQL 注入利用漏洞入侵服务器和数据库,窃取业务核心数据。采用 QingCloud WAF 可避免因黑客的注入入侵攻击导致网站核心数据库泄露,保护业务核心数据。

防恶意 CC 攻击

网站被恶意攻击,发起大量的恶意 CC 请求,长时间造成服务器性能瓶颈,导致网站业务相应缓慢或无法提供正常服务。采用 Cloud WAF 通过请求速率和请求集中度双重算法检测,阻断海量的恶意请求,保障网站可用性。

防 0day 漏洞攻击

针对已经被发现而官方还未提供相关补丁的 0day 漏洞,Cloud WAF 运营人员第一时间下发防护规则拦截攻击代码,对网站进行安全防护,为修复漏洞、安装补丁争取宝贵时间。

       建议:OWASPTOP10只从漏洞风险的 普遍性、可检测性和可利用性去评估,但是针对WEB安全威胁绝对不至于仅仅top10.

同样,黑客不会只针对top10的漏洞进行关注和入侵,安全要防患于未然,您需要更好的安全,不是更多的安全。

      遭遇安全威胁第一时间联系我们,400-068-0110  立即获得救援。

more:  owasp  top10 2017   


CloudWAF基于云安全的的智能WEB应用防护系统   


OWASP Top 10 2017

手机扫码访问