OWASP的2021年名单洗牌。新的作战计划和主要敌人
在这个日益混乱的世界上,总是有一些人们可以可靠地指望的常数。太阳在早晨升起,晚上又落下,马里奥永远比刺猬索尼克酷,而注入式攻击将永远占据开放网络应用安全项目(OWASP)十大最常见和最危险漏洞名单的首位,攻击者正在积极利用这些漏洞。
好吧,太阳明天就会升起,马里奥仍然 "胜过 "索尼克,但在2021年刷新的臭名昭著的OWASP名单上,注入攻击已经跌出了第一的位置。作为最古老的攻击形式之一,注入漏洞的存在时间几乎与计算机网络一样长。这一空白漏洞造成了广泛的攻击,包括从传统的SQL注入到针对对象图导航库(OGNL)发起的攻击。它甚至包括使用操作系统命令注入技术对服务器的直接攻击。对于攻击者来说,注入漏洞的通用性--更不用说可能被攻击的地方的数量--使这一类别多年来一直处于领先地位。
但注水王已经倒下了。国王万岁。
这是否意味着我们终于解决了注射漏洞的问题?不可能。它并没有从头号安全敌人的位置上跌落很远,只是在OWASP的名单上降到了第三位。低估注入攻击的持续危险是一个错误,但是另一个漏洞类别能够超过它的事实是很重要的,因为它显示了新的OWASP头号漏洞实际上是多么的广泛,以及为什么开发人员需要密切关注它的发展方向。
然而,最有趣的是,2021年的OWASP十大排名反映了一次重大改革,全新的类别首次出现。不安全的设计、软件和数据完整性故障,以及基于社区调查结果的条目。服务器端请求伪造。这些都表明,人们越来越关注架构漏洞,并超越了软件安全基准的表面缺陷。
破损的访问控制夺得桂冠(并揭示了一种趋势
破解访问控制从OWASP十大漏洞名单中的第五位一路飙升到目前的第一位。与注射和不安全设计等新条目一样,破坏性访问漏洞包含了广泛的编码缺陷,这增加了其可疑的受欢迎程度,因为它们共同允许在多个方面的损害。该类别包括任何违反访问控制策略的情况,从而使用户可以在其预期权限之外采取行动。
OWASP在将该系列漏洞提升到最高位置时引用了一些访问控制被破坏的例子,包括使攻击者能够修改URL、内部应用状态或HTML页面的一部分。它们还可能允许用户改变他们的主要访问密钥,使应用程序、网站或API认为他们是其他人,如具有更高权限的管理员。它甚至包括攻击者不被限制修改元数据的漏洞,让他们改变JSON网络令牌、cookies或访问控制令牌等东西。
一旦被利用,这个系列的漏洞可以被攻击者用来绕过文件或对象的授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,如删除数据库。这使得破损的访问控制除了越来越普遍之外,还具有极大的危险性。
认证和访问控制漏洞正在成为攻击者利用的最肥沃的土壤,这一点相当引人注目--但并不令人惊讶。Verizon最新的数据泄露调查报告显示,访问控制问题几乎在每个行业都很普遍,尤其是IT和医疗行业,而且在所有泄露事件中,有高达85%的事件涉及人为因素。现在,"人为因素 "包括像网络钓鱼攻击这样的事件,这不是一个工程问题,但3%的违规事件确实涉及可利用的漏洞,根据该报告,主要是旧的漏洞和人为错误导致的,如安全错误配置。
虽然那些像XSS和SQL注入这样的腐朽的安全漏洞继续绊倒开发者,但越来越多的情况是,核心安全设计正在失效,让位于对威胁者非常有利的架构漏洞,特别是如果它们在一个特定版本的应用程序的安全漏洞被公开后没有被修补。
问题是,很少有工程师得到超越基础知识的培训和技能发展,更少有工程师真正将他们的知识和实际应用扩大到超越局部的、代码级的错误,而这些错误通常是由开发人员引入的。
防止机器人很少发现的bug
新归类的破损访问控制漏洞家族是相当多样化的。你可以在我们的YouTube频道和博客上找到一些破损访问控制的具体例子以及如何阻止它们。
然而,我认为有必要庆祝这个新的OWASP Top 10;事实上,它更加多样化,包含了更广泛的攻击载体,包括那些扫描仪不一定会发现的攻击载体。对于每一个被发现的代码级弱点,更复杂的架构缺陷会被大多数安全技术堆栈所忽视,无论武器库中有多少自动盾牌和武器。虽然OWASP前十名名单中的大部分仍然是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障的新条目--以及其他--表明开发人员的培训视野需要迅速扩大,以实现机器人无法实现的目标。
简而言之,安全扫描器并不能成为伟大的威胁建模者,但一个具有安全技能的开发人员团队可以帮助AppSec团队,使他们的安全智商与最佳实践以及业务需求相一致。这需要考虑到一个良好的安全计划,并了解到虽然OWASP前10名是一个很好的基线,但威胁情况是如此的快节奏(更不用说内部开发目标的要求),必须有一个计划来更深入和更具体地提高开发人员的安全技能。如果不这样做,将不可避免地导致错过早期补救的机会,并阻碍成功的整体方法来预防,以人为本的网络安全。
我们已经为OWASP Top 10 2021做好了准备,而这仅仅是个开始让你的开发人员走上一条 晋升安全技能的途径今天就开始吧。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
OWASP的2021年名单洗牌。新的作战计划和主要敌人
在这个日益混乱的世界上,总是有一些人们可以可靠地指望的常数。太阳在早晨升起,晚上又落下,马里奥永远比刺猬索尼克酷,而注入式攻击将永远占据开放网络应用安全项目(OWASP)十大最常见和最危险漏洞名单的首位,攻击者正在积极利用这些漏洞。
好吧,太阳明天就会升起,马里奥仍然 "胜过 "索尼克,但在2021年刷新的臭名昭著的OWASP名单上,注入攻击已经跌出了第一的位置。作为最古老的攻击形式之一,注入漏洞的存在时间几乎与计算机网络一样长。这一空白漏洞造成了广泛的攻击,包括从传统的SQL注入到针对对象图导航库(OGNL)发起的攻击。它甚至包括使用操作系统命令注入技术对服务器的直接攻击。对于攻击者来说,注入漏洞的通用性--更不用说可能被攻击的地方的数量--使这一类别多年来一直处于领先地位。
但注水王已经倒下了。国王万岁。
这是否意味着我们终于解决了注射漏洞的问题?不可能。它并没有从头号安全敌人的位置上跌落很远,只是在OWASP的名单上降到了第三位。低估注入攻击的持续危险是一个错误,但是另一个漏洞类别能够超过它的事实是很重要的,因为它显示了新的OWASP头号漏洞实际上是多么的广泛,以及为什么开发人员需要密切关注它的发展方向。
然而,最有趣的是,2021年的OWASP十大排名反映了一次重大改革,全新的类别首次出现。不安全的设计、软件和数据完整性故障,以及基于社区调查结果的条目。服务器端请求伪造。这些都表明,人们越来越关注架构漏洞,并超越了软件安全基准的表面缺陷。
破损的访问控制夺得桂冠(并揭示了一种趋势
破解访问控制从OWASP十大漏洞名单中的第五位一路飙升到目前的第一位。与注射和不安全设计等新条目一样,破坏性访问漏洞包含了广泛的编码缺陷,这增加了其可疑的受欢迎程度,因为它们共同允许在多个方面的损害。该类别包括任何违反访问控制策略的情况,从而使用户可以在其预期权限之外采取行动。
OWASP在将该系列漏洞提升到最高位置时引用了一些访问控制被破坏的例子,包括使攻击者能够修改URL、内部应用状态或HTML页面的一部分。它们还可能允许用户改变他们的主要访问密钥,使应用程序、网站或API认为他们是其他人,如具有更高权限的管理员。它甚至包括攻击者不被限制修改元数据的漏洞,让他们改变JSON网络令牌、cookies或访问控制令牌等东西。
一旦被利用,这个系列的漏洞可以被攻击者用来绕过文件或对象的授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,如删除数据库。这使得破损的访问控制除了越来越普遍之外,还具有极大的危险性。
认证和访问控制漏洞正在成为攻击者利用的最肥沃的土壤,这一点相当引人注目--但并不令人惊讶。Verizon最新的数据泄露调查报告显示,访问控制问题几乎在每个行业都很普遍,尤其是IT和医疗行业,而且在所有泄露事件中,有高达85%的事件涉及人为因素。现在,"人为因素 "包括像网络钓鱼攻击这样的事件,这不是一个工程问题,但3%的违规事件确实涉及可利用的漏洞,根据该报告,主要是旧的漏洞和人为错误导致的,如安全错误配置。
虽然那些像XSS和SQL注入这样的腐朽的安全漏洞继续绊倒开发者,但越来越多的情况是,核心安全设计正在失效,让位于对威胁者非常有利的架构漏洞,特别是如果它们在一个特定版本的应用程序的安全漏洞被公开后没有被修补。
问题是,很少有工程师得到超越基础知识的培训和技能发展,更少有工程师真正将他们的知识和实际应用扩大到超越局部的、代码级的错误,而这些错误通常是由开发人员引入的。
防止机器人很少发现的bug
新归类的破损访问控制漏洞家族是相当多样化的。你可以在我们的YouTube频道和博客上找到一些破损访问控制的具体例子以及如何阻止它们。
然而,我认为有必要庆祝这个新的OWASP Top 10;事实上,它更加多样化,包含了更广泛的攻击载体,包括那些扫描仪不一定会发现的攻击载体。对于每一个被发现的代码级弱点,更复杂的架构缺陷会被大多数安全技术堆栈所忽视,无论武器库中有多少自动盾牌和武器。虽然OWASP前十名名单中的大部分仍然是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障的新条目--以及其他--表明开发人员的培训视野需要迅速扩大,以实现机器人无法实现的目标。
简而言之,安全扫描器并不能成为伟大的威胁建模者,但一个具有安全技能的开发人员团队可以帮助AppSec团队,使他们的安全智商与最佳实践以及业务需求相一致。这需要考虑到一个良好的安全计划,并了解到虽然OWASP前10名是一个很好的基线,但威胁情况是如此的快节奏(更不用说内部开发目标的要求),必须有一个计划来更深入和更具体地提高开发人员的安全技能。如果不这样做,将不可避免地导致错过早期补救的机会,并阻碍成功的整体方法来预防,以人为本的网络安全。
我们已经为OWASP Top 10 2021做好了准备,而这仅仅是个开始让你的开发人员走上一条 晋升安全技能的途径今天就开始吧。
