OWASP 2021
OWASP
OWASP (Open Web Application Security Project) 是一個國際性的非營利組織,致力於提升 Web 應用程式的安全性。OWASP 的使命是為了讓機構能夠製作和維護安全的應用程式,同時也為開發人員和安全專家提供有關於Web安全方面的資源和培訓。
OWASP 定期發佈 Web 應用程式的十大安全漏洞,每兩年更新一次,這些安全漏洞是目前最常見的攻擊方式,也是開發人員在開發 Web 應用程式時最容易忽略的地方。此外,OWASP 也提供了大量的資源和工具,包括測試方法、漏洞掃描器、安全指南等,讓開發人員和安全專家更容易地檢測、評估和改進 Web 應用程式的安全性。
OWASP 的重點是在教育和啟發安全意識,推廣安全開發實踐和促進安全測試,以提高 Web 應用程式的安全性和可靠性。由於 OWASP 的資源和工具是免費提供的,且有豐富的社區支援,因此受到開發人員和安全專家的廣泛關注和認可。
總之,OWASP 的目標是提高 Web 應用程式的安全性,並推廣最佳的安全實踐和技術。其提供了豐富的資源和工具,以幫助開發人員和安全專家進行安全測試和漏洞修復,並加強開發人員的安全意識和技能,從而使 Web 應用程式更加安全和可靠。
OWASP Top 10 2021
A01:2021-Broken Access Control 權限控制失效
存取控制是指經由身分驗證的用戶執行越級的操作限制,權限控制失效發生於如果限制未確實執行,可能造成未經授權的用戶敏感資訊進行修改與破壞。A02:2021-Cryptographic Failures 加密機制失效
加密機制失效指加密失敗導致資料外洩。
常見漏洞:
- 以明文形式儲存敏感資料
- 使用過時的加密演算法
- 使用默認密碼、弱密碼,不使用密鑰管理
如何避免:
- 使用TLS加密
- A03:2021-Injection 注入式攻擊
注入式攻擊是指應用程式強制執行不可信任的惡意程式碼,危害整個應用程式。
常見漏洞:
- Cross-site scripting (XSS)
- SQL injections
- CCS injections
如何避免:
- 使用安全的API設計
- 伺服器端輸入驗證 ( 列入白名單 )
- A04:2021-Insecure Design 不安全設計
不安全設計是指軟體開發中缺乏安全控制和風險分析,從而沒有正確確定安全設計程度。
- 如何避免
- 與專家實施安全開發生命週期,以評估隱私安全需求
A05:2021-Security Misconfiguration 安全設定缺陷
安全設定顧名思義,安全設定不正確。A06:2021-Vulnerable and Outdated Components 危險或過舊的元件
危險或過舊的元件是指使用具有漏洞的元件。
- 常見情況
- 沒有定期掃描漏洞修補
- A07:2021-Identification and Authentication Failures 認證及驗證機制失效
Broken Authentication。
- 常見情況
- 密碼失效
- 沒有使用多重身份驗證
A08:2021-Software and Data Integrity Failures 軟體及資料完整性失效
軟體更新、重要資料與CI/CD 流程完整性尚未驗證之漏洞。A09:2021-Security Logging and Monitoring Failures 資安記錄及監控失效
日誌紀錄與監控不足。A10:2021-Server-Side Request Forgery 伺服端請求偽造
當 Web 應用程序在獲取遠程資源時未驗證用戶提供的 URL 時,就會出現伺服器端請求偽造問題。
攻擊者即使受到防火牆、VPN 或訪問控制列表 (Access Control List;ACL) 的保護,也能夠強制應用程式向目的地發送設計請求。
Reference
OWASP Top 10 2021 介紹
https://owasp.org/Top10/zh_TW/OWASP Top 10 2021 Released – What’s New!!
https://cybersecuritynews.com/owasp-top-10-2021/?fbclid=IwAR25EpDoGaRpQVV72x6w5IipeHEQ1rRqHBcOwBThiABoPi3L6tKbK8tVWfYOWASP Top 10 2021 十大網站安全風險排名更新
http://www.heminfosec.com/eDM/2021-10-OWASPtop10-2021-WAPPLES-OSCAN.html維基百科 OWASP
https://zh.wikipedia.org/wiki/OWASPWho is the OWASP® Foundation?
https://owasp.org/OWASP TOP 10 2021 – THE ULTIMATE VULNERABILITY GUIDE
https://crashtest-security.com/owasp-top-10-2021/