OWASP 2021

發表於 更新於 分類於 文章字數: 2.1k 所需閱讀時間 ≈ 4 分鐘

OWASP

OWASP (Open Web Application Security Project) 是一個國際性的非營利組織,致力於提升 Web 應用程式的安全性。OWASP 的使命是為了讓機構能夠製作和維護安全的應用程式,同時也為開發人員和安全專家提供有關於Web安全方面的資源和培訓。

OWASP 定期發佈 Web 應用程式的十大安全漏洞,每兩年更新一次,這些安全漏洞是目前最常見的攻擊方式,也是開發人員在開發 Web 應用程式時最容易忽略的地方。此外,OWASP 也提供了大量的資源和工具,包括測試方法、漏洞掃描器、安全指南等,讓開發人員和安全專家更容易地檢測、評估和改進 Web 應用程式的安全性。

OWASP 的重點是在教育和啟發安全意識,推廣安全開發實踐和促進安全測試,以提高 Web 應用程式的安全性和可靠性。由於 OWASP 的資源和工具是免費提供的,且有豐富的社區支援,因此受到開發人員和安全專家的廣泛關注和認可。

總之,OWASP 的目標是提高 Web 應用程式的安全性,並推廣最佳的安全實踐和技術。其提供了豐富的資源和工具,以幫助開發人員和安全專家進行安全測試和漏洞修復,並加強開發人員的安全意識和技能,從而使 Web 應用程式更加安全和可靠。

OWASP Top 10 2021

  1. A01:2021-Broken Access Control 權限控制失效
    存取控制是指經由身分驗證的用戶執行越級的操作限制,權限控制失效發生於如果限制未確實執行,可能造成未經授權的用戶敏感資訊進行修改與破壞。

  2. A02:2021-Cryptographic Failures 加密機制失效
    加密機制失效指加密失敗導致資料外洩。

  • 常見漏洞:

    • 以明文形式儲存敏感資料
    • 使用過時的加密演算法
    • 使用默認密碼、弱密碼,不使用密鑰管理

  • 如何避免:

    • 使用TLS加密
  1. A03:2021-Injection 注入式攻擊
    注入式攻擊是指應用程式強制執行不可信任的惡意程式碼,危害整個應用程式。

  • 常見漏洞:

    • Cross-site scripting (XSS)
    • SQL injections
    • CCS injections

  • 如何避免:

    • 使用安全的API設計
    • 伺服器端輸入驗證 ( 列入白名單 )
  1. A04:2021-Insecure Design 不安全設計
    不安全設計是指軟體開發中缺乏安全控制和風險分析,從而沒有正確確定安全設計程度。
  • 如何避免
    • 與專家實施安全開發生命週期,以評估隱私安全需求

  1. A05:2021-Security Misconfiguration 安全設定缺陷
    安全設定顧名思義,安全設定不正確。

  2. A06:2021-Vulnerable and Outdated Components 危險或過舊的元件
    危險或過舊的元件是指使用具有漏洞的元件。

  • 常見情況
    • 沒有定期掃描漏洞修補
  1. A07:2021-Identification and Authentication Failures 認證及驗證機制失效
    Broken Authentication。
  • 常見情況
    • 密碼失效
    • 沒有使用多重身份驗證

  1. A08:2021-Software and Data Integrity Failures 軟體及資料完整性失效
    軟體更新、重要資料與CI/CD 流程完整性尚未驗證之漏洞。

  2. A09:2021-Security Logging and Monitoring Failures 資安記錄及監控失效
    日誌紀錄與監控不足。

  3. A10:2021-Server-Side Request Forgery 伺服端請求偽造
    當 Web 應用程序在獲取遠程資源時未驗證用戶提供的 URL 時,就會出現伺服器端請求偽造問題。
    攻擊者即使受到防火牆、VPN 或訪問控制列表 (Access Control List;ACL) 的保護,也能夠強制應用程式向目的地發送設計請求。

Reference

  1. OWASP Top 10 2021 介紹
    https://owasp.org/Top10/zh_TW/

  2. OWASP Top 10 2021 Released – What’s New!!
    https://cybersecuritynews.com/owasp-top-10-2021/?fbclid=IwAR25EpDoGaRpQVV72x6w5IipeHEQ1rRqHBcOwBThiABoPi3L6tKbK8tVWfY

  3. OWASP Top 10 2021 十大網站安全風險排名更新
    http://www.heminfosec.com/eDM/2021-10-OWASPtop10-2021-WAPPLES-OSCAN.html

  4. 維基百科 OWASP
    https://zh.wikipedia.org/wiki/OWASP

  5. Who is the OWASP® Foundation?
    https://owasp.org/

  6. OWASP TOP 10 2021 – THE ULTIMATE VULNERABILITY GUIDE
    https://crashtest-security.com/owasp-top-10-2021/