2021 年 OWASP Top 10 视频系列 I F5

保护您的 Web 应用免受新的关键风险的影响

OWASP Top 10 是关于 Web 应用最关键安全风险的广泛共识。2021 年的更新报告给市场提供了指导意见，以帮助确保现代 Web 应用和架构免受漏洞、滥用和错误配置的影响，并针对减轻涉及软件供应链、CI/CD流水线和开源软件的新风险提出建议。

在 F5 DevCentral 上观看 2021 年 OWASP Top 10 板书系列课程，了解新的 OWASP Top 10 的详细情况并学习：

开放 Web 应用安全项目 (OWASP) 是一个非营利性基金会，致力于提高软件的安全性。OWASP 致力于维护各种项目，包括为开发人员和安全从业人员提供的 Top 10 Web 应用安全风险标准意识文件。

John 一开始便解释了什么是 OWASP Top 10。他强调了一些主题，比如有关症状和根本原因的风险重新定位、新的风险类别以及现代应用架构。请观看视频，详细了解十大风险。

94% 经过测试的应用显示出了某种形式的访问控制失效。故障可能会导致未经授权的数据披露、修改或破坏以及权限升级，并导致帐户接管 (ATO)、数据泄露、罚款和品牌损害。

加密故障，之前称之为“敏感数据暴露”，导致敏感数据暴露和用户会话被劫持。尽管 TLS 1.3 被广泛采用，但易受攻击的旧版协议仍然被启用。

注入是一类广泛的攻击载体，其中不受信任的输入会改变应用项目执行。这可能导致数据被盗、数据完整性的丧失、拒绝服务和整个系统被破坏。注入不再是最大的风险，但仍然是非常可怕的风险。

安全性是应用必不可少的要素。安全的设计仍然可能存在导致漏洞的实施缺陷，而不安全的设计不可能通过完美的实施来修复。

安全配置错误是云泄露的主要原因。了解如何应对和避免，因为现代应用开发、软件重复使用和各种云的架构蔓延会增加这一风险。

开源软件漏洞是许多最大安全事件的幕后黑手。最近的 Log4j2 漏洞可能是迄今为止该类别中最严重的风险。

确认身份并使用强大的身份验证和会话管理功能来防止业务逻辑的滥用至关重要。大多数身份验证攻击可以追溯到密码的持续使用。被破坏的凭证、僵尸网络和先进的工具可为凭证填充等自动化攻击带来可观的投资回报率。

此类新风险主要是指在没有核实完整性的情况下做出与软件更新、关键数据和 CI/CD 流水线相关的假设。SolarWinds 供应链攻击是我们见过的最具破坏性的攻击之一。

如果没有正确的日志记录和监控应用程序活动，就无法检测到漏洞。不这样做会直接影响可见性、事件警报和取证。攻击者不被发现的时间越长，系统就越有可能遭到破坏。

Web 应用在没有验证用户提供的 URL 的情况下获取远程资源，就会发生 SSRF 缺陷。攻击者可以胁迫应用将请求发送到意想不到的目的地，即使受到防火墙、VPN 或其他网络访问控制列表 (ACL) 的保护。