×

#原创分享#深信服NGAF如何应对OWASP TOP10
  

静态路由 6310

{{ttag.title}}
本帖最后由 静态路由 于 2019-11-5 10:52 编辑

       随着网络的发展,移动互联网的崛起让我们生活多姿多彩。无聊刷抖音,支付用阿里,吃瓜上微博等等,越来越多的手机APP出现在我们视野里。
      同样的,不管是医疗,金融,*,能源或者企业自己,都在不断的开发APP。而现代软件开发过程的飞速发展,使得快速、准确地识别软件安全风险变得愈发的重要。所以这些暴露在互联网,提供对外服务的APP安全就变得格外重要,OWASP为我们的应用安全防御提供了一些建设性的方向和启发。
     什么是OWASP, 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
      OWASP 罗列了 前十项,基于大量数据研究得出的应用威胁安全问题,以下是OWASP top 10

A1:2017-注入
     将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预 期命令或访问数据。

A2:2017-失效的身份认证
      通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

A3:2017-敏感数据泄露
     许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。

A4:2017-XML 外部实体(XXE)
      许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。

A5:2017-失效的访问控制
     未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

A6:2017-安全配置错误
      安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此,我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置,而且必须及时修补和升级它们。

A7:2017-跨站脚本(XSS)
      当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。

A8:2017-不安全的反序列化
      不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。

A9:2017-使用含有已知漏洞的组件
      组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

A10:2017-不足的日志记录和监控
     不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。
     对于OWASP top 10的罗列 某公司NGAF已经在业务安全这模块,有效进行了防护,并且直观统一准确的进行展示,这也是我们生产网络出口选择某公司的原因之一。
安全运营中心,可以进行风险评估。
实时动态保护
线上安全监控
某公司自己的漏洞库会实时推送最新安全事件,提醒用户安全
业务安全方面,可以暂时网络上受到的攻击事件,提醒用户是否存在相关漏洞
攻击事件汇总
对于具体漏洞攻击手段和细节,能够查看汇总的报表
配合某公司安全云(场景使用问题,暂时还没购买),提升防护。

      综上所述,NGAF能够识别保护我们的内网环境,平时遇到的攻击手段大部分是属于top10。也希望社区伙伴在安全运维工作中,重视OWASP提出十大威胁

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-5 11:53
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
新手792398 发表于 2019-11-6 14:28
  
谢谢分享
新手379206 发表于 2019-11-7 09:28
  
学习了,谢谢分享
四川_石头 发表于 2019-11-7 09:31
  

11.11社区也狂欢 +11 S豆 详情>

学习了,谢谢分享
zhb 发表于 2019-11-7 10:26
  
现在安全形势越来越严峻,AF确实帮了客户很多大忙,我们这些奋斗在一线的人员深有体会
yuan666 发表于 2019-11-8 11:24
  
学习学习
新手379206 发表于 2019-11-8 14:55
  
学习了,谢谢分享
静态路由 发表于 2019-11-8 22:50
  
11.11社区也狂欢 +11 S豆
呆呆蛙 发表于 2019-11-9 09:18
  

11.11社区也狂欢 +11 S豆 详情>

回帖是美的
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人