本帖最后由 静态路由 于 2019-11-5 10:52 编辑
随着网络的发展,移动互联网的崛起让我们生活多姿多彩。无聊刷抖音,支付用阿里,吃瓜上微博等等,越来越多的手机APP出现在我们视野里。 同样的,不管是医疗,金融,*,能源或者企业自己,都在不断的开发APP。而现代软件开发过程的飞速发展,使得快速、准确地识别软件安全风险变得愈发的重要。所以这些暴露在互联网,提供对外服务的APP安全就变得格外重要,OWASP为我们的应用安全防御提供了一些建设性的方向和启发。 什么是OWASP, 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 OWASP 罗列了 前十项,基于大量数据研究得出的应用威胁安全问题,以下是OWASP top 10
A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预 期命令或访问数据。
A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。
A4:2017-XML 外部实体(XXE) 许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。
A5:2017-失效的访问控制 未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
A6:2017-安全配置错误 安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此,我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置,而且必须及时修补和升级它们。
A7:2017-跨站脚本(XSS) 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
A8:2017-不安全的反序列化 不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。
A9:2017-使用含有已知漏洞的组件 组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。
A10:2017-不足的日志记录和监控 不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。 对于OWASP top 10的罗列 某公司NGAF已经在业务安全这模块,有效进行了防护,并且直观统一准确的进行展示,这也是我们生产网络出口选择某公司的原因之一。 安全运营中心,可以进行风险评估。 实时动态保护 线上安全监控 某公司自己的漏洞库会实时推送最新安全事件,提醒用户安全 业务安全方面,可以暂时网络上受到的攻击事件,提醒用户是否存在相关漏洞 攻击事件汇总 对于具体漏洞攻击手段和细节,能够查看汇总的报表 配合某公司安全云(场景使用问题,暂时还没购买),提升防护。
综上所述,NGAF能够识别保护我们的内网环境,平时遇到的攻击手段大部分是属于top10。也希望社区伙伴在安全运维工作中,重视OWASP提出十大威胁。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-11-5 11:53
发表于 2019-11-6 14:28
工程师2级 
