2021 OWASP 十大光板课程视频系列
保护您的 Web 应用免受新的重大风险的影响
OWASP Top 10 是针对 Webapplications最严重的安全风险达成的广泛共识。 2021 年的更新提供了指导,帮助保护现代 Webapplications和架构免受漏洞、滥用和错误配置的影响,并提供了减轻涉及软件供应链、CI/CD 管道和开源软件的新风险的建议。
观看 F5 DevCentral 上的 2021 年 OWASP Top 10 Lightboard 课程系列,了解新的 OWASP Top 10 并了解:
- OWASP 如何创建 Webapplications十大最严重安全风险列表。
- 2021 年的关键变化,包括重新分类风险以使症状与根本原因保持一致。
- 每个风险何时会出现、为什么它很重要以及如何改善您的安全态势。
开放式 Web应用安全项目 (OWASP) 是一个致力于提高软件安全性的非营利性基金会。 OWASP 维护各种项目,包括针对开发人员和安全从业人员的十大 Web应用安全风险标准意识文档。
OWASP 十大概述
约翰开始解释什么是 OWASP Top 10。 他重点强调了围绕症状和根本原因的风险重新定位、新的风险类别和现代应用架构等主题。 请继续观看分别针对十大风险的视频。
2021 年 OWASP 前 10 名: 访问控制失效
94% 的测试应用程序都存在某种形式的访问控制中断。 故障可能导致未经授权的数据披露、修改或破坏以及权限提升,并导致帐户接管 (ATO)、数据泄露、罚款和品牌损害。
2021 年 OWASP 前 10 名: 加密失败
加密故障(以前称为“敏感数据泄露”)会导致敏感数据泄露和用户会话被劫持。 尽管 TLS 1.3 被广泛采用,但旧的、易受攻击的协议仍在启用。
2021 年 OWASP 前 10 名: 注射
注入是一类广泛的攻击媒介,其中不受信任的输入会改变应用程序的执行。 这可能导致数据盗窃、数据完整性丧失、拒绝服务和整个系统受到损害。 注射不再是最大的风险,但仍然令人生畏。
2021 年 OWASP 前 10 名: 不安全的设计
安全性必须是applications所固有的。 安全设计仍然可能存在导致漏洞的实施缺陷。 不安全的设计无法通过完美的实施来修复。
2021 年 OWASP 前 10 名: 安全配置错误
安全配置错误是云漏洞的主要原因。 了解应该做什么和应该避免什么——因为现代应用程序开发、软件重用和跨云架构蔓延会增加这种风险。
2021 年 OWASP 前 10 名: 易受攻击和过时的组件
许多重大安全事件的背后原因都是开源软件漏洞。 最近的 Log4j2 漏洞可能是迄今为止此类别中最严重的风险。
2021 年 OWASP 前 10 名: 身份识别和认证失败
确认身份并使用强身份验证和会话管理来防止业务逻辑滥用至关重要。 大多数身份验证攻击都源于密码的持续使用。 受损的凭证、僵尸网络和复杂的工具为撞库攻击等自动攻击提供了颇具吸引力的投资回报率。
2021 年 OWASP 前 10 名: 软件和数据完整性故障
这一新的风险类别侧重于在没有验证完整性的情况下对软件更新、关键数据和 CI/CD 管道做出假设。 SolarWinds 供应链攻击是我们所见过的最具破坏性的攻击之一。
2021 年 OWASP 前 10 名: 安全日志记录和监控失败
如果没有正确记录和监控应用程序活动,就无法检测到违规行为。 不这样做会直接影响可见性、事件警报和取证。 攻击者不被发现的时间越长,系统受到损害的可能性就越大。
2021 年 OWASP 前 10 名: 服务器端请求伪造者
当 Web 应用程序在未验证用户提供的 URL 的情况下获取远程资源时,就会出现 SSRF 缺陷。 攻击者可以强迫应用程序将请求发送到意外的目的地 - 即使该目的地受到防火墙、VPN 或其他网络访问控制列表(ACL) 的保护。