什么是 OWASP？ OWASP 十大漏洞和风险简介

OWASP Top 10是一份被广泛认可的最严重的 Web应用安全风险列表。 该列表可为开发人员、安全专家和组织提供指导，帮助他们优先识别和减轻关键的 Web应用安全风险。 

OWASP Top 10 列表中的风险存在并不一定表明该风险在所有 Webapplications中的普遍性或严重性，并且 Top Ten 并非按照特定顺序或优先级排列。  

OWASP 2021 年十大Web应用安全风险包括：

1. 访问控制失效。 当访问控制和授权执行不充分导致攻击者访问未经授权的功能或数据时，就会出现此漏洞。 这可能是由于不安全的直接对象引用 (IDOR) 造成的，当应用无法验证或授权用作对内部对象的直接引用的用户输入时，就会出现这种情况。 当应用应用仅在初始身份验证或授权阶段验证访问控制，但并未在整个应用程序的功能或操作中始终如一地执行这些控制时，也可能由于缺少功能级访问控制而发生这种情况。 Web应用防火墙 (WAF)可以通过监控和实施访问控制来防止未授权访问敏感对象或资源，从而帮助防范这些攻击。

2. 加密失败。 这种风险是由于对传输和静止过程中的敏感数据保护不足而产生的。 加密失败可能导致数据泄露、未授权访问保密资料以及不遵守数据隐私法规，例如欧盟通用数据保护条例 (GDPR) 和 PCI数据安全标准 (PCI DSS) 等金融标准。 这些故障可能由于不安全的加密存储、以纯文本形式存储数据或不安全的密钥管理造成。 风险还可以源于信息泄露，信息泄露可能源于弱密钥或随机数生成，或者加密协议中的缺陷。 
3. 注入攻击。 当攻击者将不受信任或恶意的数据插入命令或查询语言中，或者当用户提供的数据未经应用验证、过滤或清理时，就会发生注入缺陷，从而导致恶意命令的意外执行。 此风险类别涵盖 NoSQL、OS 命令、LDAP 和SQL 注入攻击，还包括跨站点脚本 (XSS) ，攻击者将恶意客户端脚本（如 JavaScript）注入其他用户查看的网页中。 这可能导致敏感信息被盗，例如登录凭据、个人数据或会话 cookie。 WAF可以通过检查和过滤传入的请求（包括反射（非持久性）、存储（持久性）和基于文档对象模块 (DOM) 的 XSS）来帮助检测和阻止恶意代码注入尝试，从而阻止它们到达应用。
4. 不安全的设计。 这是一个广泛的类别，代表不同的弱点，表现为缺失或无效的安全控制和架构缺陷。 当应用设计依赖于本质上不安全的流程，或者未实施防御特定攻击所需的安全控制时，可能会出现这些缺陷。 通过增加使用威胁模型、安全设计模式和参考架构可以降低这些风险。  
5. 安全配置错误。 Web应用框架、平台、服务器或安全控制缺乏安全强化，可能导致未授权访问、敏感信息的暴露或其他安全漏洞。 安全配置错误导致的风险还可能由于云服务的权限配置不当，或者安装或启用不必要的功能（例如未使用的端口、服务、帐户或权限）所致。 Web 应用程序和 API 的配置错误是一个重大风险，因为主要的云提供商具有不同的默认安全态势，并且架构日益变得分散并分布在多云结构中。    
6. 易受攻击且过时的组件。 使用过时、未修补或易受攻击的组件（例如库、框架或插件）可能会使应用s暴露于已知的安全漏洞，从而增加被利用的风险。 这些风险可能来自不受支持或过时的软件，包括操作系统 (OS)、Web/应用服务器、数据库管理系统 (DBMS)、应用s、API 以及所有组件、运行时环境和库。 当组织没有及时采取基于风险的措施来修复或升级系统的底层平台、框架和依赖项时，这些威胁尤其危险，导致系统在数天或数周内不必要地暴露于已知风险中。 复杂的软件供应链和通过 CI/CD 管道实现的自动化增加了将易受攻击的软件引入 IT 堆栈的风险。 WAF可以作为防范漏洞利用的关键权宜之计。  
7. 识别和认证失败。 身份验证、身份和会话管理中的弱点可能允许攻击者窃取用户帐户、密码、会话令牌，或利用不安全的会话处理。 这些区域出现故障可能会引发撞库攻击等自动攻击。 与密码相关的漏洞是这些风险的最常见来源，因为许多人重复使用密码或使用默认、弱或众所周知的密码。 会话管理问题也可能导致与身份验证相关的攻击，特别是如果用户会话或身份验证令牌在注销或不活动期间没有正确失效。 正如 OWASP Top 10、API Security Top 10 和 Automated Threats 项目中详述的那样，绕过身份验证控制的攻击对于 Web 应用程序和 API 而言都是一种越来越大的风险。  
8. 软件和数据完整性故障。 这些漏洞是由于应用程序代码和基础设施无法防止数据和软件的完整性遭到破坏而造成的。 当应用依赖来自不受信任的来源、存储库和 CDN 的插件、库或模块时，就会出现这种情况。 它还可能发生在未经验证的软件更新、敏感数据修改和 CI/CD 管道更改期间。 攻击者可能会上传自己的更新并在所有安装上分发和运行。 不安全的反序列化（即应用获取不受信任的序列化数据并在未确保其有效性的情况下使用该数据）也属于此风险类别的一部分，允许进行远程代码执行 (RCE) 和权限提升等攻击。 
9. 安全日志和监控失败。 日志记录和监控不足会妨碍及时发现和应对安全事件，从而难以识别和减轻攻击或未经授权的活动。 这可能意味着可审计事件（例如登录、登录失败和高价值交易）不会被识别或记录，并且applications无法实时检测到主动攻击。  
10. 服务器端请求伪造（SSRF）。 当应用在从远程资源提取数据之前没有验证或清理用户输入的 URL 时，就会出现这些漏洞。 攻击者可以利用这些漏洞强制应用s访问恶意网络目的地，即使受到防火墙或其他防御措施的保护。 如果目标资源与其他系统（例如云元数据服务或后端 API）具有信任关系，也会导致这些攻击，从而允许攻击者向这些受信任的服务发出请求并提取敏感信息或执行未经授权的操作。 为了帮助缓解 SSRF，请设计最小特权访问系统，并使用WAF在安全策略中明确定义统一资源标识符 (URI) 参数并允许/禁止可以访问它们的主机。

2021 年 OWASP Top 10 反映了与之前的 2017 年 OWASP Top 10 相比的一些新类别和命名变化。 这些变化包括将 2017 年风险威胁 XML 外部实体 (XXE) 集成到 2021 年安全配置错误类别中，并将 2017 年跨站点脚本 (XSS) 添加到 2021 年注入类别中。 2017 年的风险“不安全反序列化”现在属于 2021 年的“软件和数据完整性故障”类别。