OWASP(The Open Web Application Security Project)是一个提供关于网络应用安全的无偏见、实用信息的非盈利组织。OWASP十大网络应用程序安全风险在2017年进行了更新，并向开发人员和安全专业人员提供有关网络应用程序中常见的最关键漏洞的指导。列出的这10类应用风险是危害最大的，可能允许攻击者植入恶意软件、窃取数据或完全接管您的计算机或网络服务器。

应用程序安全影响所有行业的所有组织，但研究发现，不同的OWASP前10个缺陷在不同的行业中更为普遍。各组织应利用这些信息将重点转移到其特定部门面临的最紧迫问题上。

下面是10大安全漏洞。

1、Injection 植入

当攻击者将不可信的数据发送到未经适当授权作为命令执行的解释器时，会出现植入漏洞，如SQL植入、LDAP植入和CRLF植入。

*应用程序安全测试可以轻松地检测注入缺陷。开发人员在编码时应该使用参数化查询来防止植入缺陷。

2、身份认证和会话管理漏洞

不正确配置的用户和会话身份验证可能会使攻击者泄露密码、密钥或会话令牌，或控制用户的账户，以冒充其身份。

*多因素身份验证，如FIDO或专用应用程序，可降低账户受损的风险。

3、敏感数据泄露

当应用程序和API不能正确保护诸如财务数据、用户名和密码或健康信息等敏感数据时，攻击者就可以访问这些信息进行欺诈或窃取身份。

*对静态和传输中的数据进行加密可以防止敏感数据泄露。

4、XML外部实体

配置不当的XML处理器评估XML文档中的外部实体引用。攻击者可以使用外部实体进行攻击，包括远程代码执行，并泄漏内部文件和SMB文件共享。

*静态应用程序安全测试(SAST)可以通过检查依赖关系和配置来发现这个问题。

5、访问控制缺陷

未正确配置或缺少对已验证用户的限制，允许他们访问未经授权的功能或数据，例如访问其他用户的帐户、查看敏感文档以及修改数据和访问权限。

*穿透测试对于检测非功能性访问控制至关重要；其他测试方法只检测访问控制缺失的位置。

6、安全配置错误

此风险是指不正确地实施保护应用程序数据安全的控件，例如安全标头配置错误、包含敏感信息的错误消息(信息泄漏)，以及未修补或升级系统、框架和组件。

*动态应用程序安全性测试(DAST)可以检测错误配置，例如泄漏的api。

7、跨站点脚本

跨站点脚本(XSS)缺陷使攻击者能够将客户端脚本注入应用程序，例如，将用户重定向到恶意网站。

*开发人员培训是对安全测试的补充，帮助程序员使用最佳编码最佳实践(如编码数据和输入验证)防止跨站点脚本。

8、不安全的文件操作

文件操作缺陷可使攻击者远程执行应用程序中的代码、篡改或删除序列化(写入磁盘)对象、执行植入攻击和提升权限。

*应用程序安全工具可以检测这类缺陷，但是经常需要穿透测试来验证问题。

9、使用不安全的组件

开发人员经常不知道他们的应用程序中有哪些开源和第三方组件，因此当发现新的漏洞时，很难更新组件。攻击者可以利用不安全的组件来接管服务器或窃取敏感数据。

*与静态分析同时进行的软件组合分析可以识别组件的不安全版本。

10、日志记录和监控不足

发现漏洞的时间通常以几周或几个月来衡量。日志记录不足和与安全事件响应系统的无效集成使攻击者能够转向其他系统并保持持续的威胁。

*像攻击者一样思考，使用笔测试来确定是否有足够的监控；在笔测试之后检查日志。

#物联网发展趋势#

关注@物联网发展趋势 研究物联网发展现状、分析物联网发展趋势