CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。
作者统计了OWASP 2004、2007、2010、2013和2017总共五次发布的TOP 10,由于TOP 10排序是根据调研结果整理出的安全漏洞发生的多少、或关注的多少进行排名的,所以发布的安全漏洞中大量是重复的,作者经过整理分析,其实5次发布的安全漏洞总共涉及到20种安全漏洞类型,如下表:
其中A1—A10编号是2017发布的迄今最新的TOP 10。经过对TOP 10原文中每种安全类型的分析,其中大部分安全漏洞类型是可以借助SAST自动化检测工具实现或可以通过SAST类检测工具可以支持的。如下表:
从上面的表中可以看到,A2-失效的身份认证和会话管理/失效的身份认证,该种安全漏洞类型一般是很难通过SAST工具静态分析检测出来,是需要通过DAST类工具进行动态检测或人工检测。A10-不足的日志记录和监控安全漏洞类型一般也是通过DAST工具检测,虽然说SAST类工具从对写日志文件相关的代码上可以静态分析出一些缺陷,例如,在日志中写入敏感信息等问题,但是无法动态检测或监控日志文件。通过作者分析,OWASP TOP 10 2017中列出的10种最多安全漏洞类型中的8种是可以通过SAST静态分析工具检测出来的。
那么库博(CoBOT)作为一款自主、可控的国产工具,对于OWASP TOP 10支持到底如何呢?作者根据开发团队从工具对应的数据库中导出了检测器列出,由于开发语言比较多,作者只分析了Java开发语言对应的安全漏洞检测类型,经过较为细致分析和汇总,得出库博所支持的检测器列表: 通过上表可以看到,库博工具至少有115个检测器对应到了历届OWASP TOP 10中的安全漏洞类型,也就是说TOP 10中的每种安全漏洞类型都可能对应多种检测器,从不同角度检测安全漏洞。而A9-使用含有已知漏洞的构件是可以通过代码成分分析和同源漏洞检测工具可以检测出构件中的已知安全漏洞,需要CoBOT SCA工具的支持。CoBOT SCA支持A9安全漏洞检测数量的多少是由库博安全大数据库中的开源构件中的数量决定的,目前该库中已经累计了将近10T的构件代码,这些构件代码中的漏洞就是已知漏洞,如果开发的程序中引用了该构件,则存在相应的安全漏洞。由于CSRF攻击安全漏洞类型已经不在TOP 10中,是由于目前很多Java开发框架或浏览器一定程度上防止出现CSRF攻击,该类型漏洞部分情况也可以通过SAST工具检测出来。
库博源代码缺陷检测工具,虽然名称是缺陷检测工具,这里的缺陷是一个广义的概念,也把代码中的安全漏洞认为是代码的缺陷。实际上,库博对于安全漏洞检测能力已经非常强大,这些通过腾讯、阿里等互联网企业应用库博工具对其web应用进行代码安全检测得到证实。
关注安全 关注作者
CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系相关推荐
- 2021 OWASP Top 10 榜单(初稿)发布,头牌易主
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OWASP Top 10 榜单列出的是最危险的 web 漏洞,时隔四年且十多年以来,该榜单霸主易主. OWASP Top 10 榜单创建于21世 ...
- OWASP top 10漏洞原理及防御(2017版官方)
文章目录 一.OWASP top 10简介 二.OWASP top 10详解 A1:2017-注入 A2:2017-失效的身份认证 A3:2017-敏感数据泄露 A4:2017-XML外部实体(XXE ...
- 网络安全入门必知的OWASP top 10漏洞详解
0.OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属 ...
- OWASP top 10漏洞详解
一.写在前边 临近毕业,最近在找实习单位,看到好多招聘要求熟悉owasp top 10 安全漏洞,于是在经过一番查资料,终于有了大致的了解,为了加深印象,特意通过博客记录一下,也希望为有同样需求的 ...
- 2021 OWASP TOP 10 漏洞指南
一.什么是OWASP? 在 开放Web应用基金会致力于创造一个更安全的网络应用环境.它免费提供文章.工具.技术和论坛,让每个开发人员都能创建安全的代码.其最著名的项目之一是 OWASP Top 10. ...
- OWASP TOP 10 漏洞指南(2021)
什么是OWASP TOP 10? OWASP,全称"开放式Web应用程序安全项目"是一个非营利性的组织,2003年该组织首次出版了"Top 10",也就是10项 ...
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- OWASP TOP 10(2021)之注入漏洞(SQL注入和XSS注入)
目录 一.SQL注入 1. 漏洞概述及原理 2. 漏洞可能造成的危害 3. 漏洞防范 4. SQL注入的分类与检测 5. 从攻击者的角度,如何绕过SQL注入防范呢? (1)对于关键字的绕过 (2)缓冲 ...
- OWASP TOP 10 – 终极漏洞指南(2021)
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息. 目录 什么是OWASP? 什么是 ...
最新文章
- 从*p++说指针,数组,结构和函数
- 并发编程线程通信之管道流
- 基于原子探索者stm32f407开发板的ucos-iii+lwip1.4.1的tcp server并发服务器完美解决例程(转)...
- [转]linux下的fms2流媒体服务器搭建六部曲之五-----flv播放器制作篇
- llvm编译器实战教程第二版_LLVM编译器实战教程
- 记录 之 tensorflow中几个常用的函数:tf.unstack,tf.concat() 和 tf.stack() 等
- 【sklearn学习】集成算法之梯度提升树GBDT
- 常见的几种异常类型-熟记
- 工作87:element-ui el-table sortable属性 参数详解
- Windows server 2012 安装exchange 2013
- Java探索之旅(2)——GUI输入输出与代码的规范性
- 01.26 小组功能初步总结
- tensorflow 的 Session Exception
- CentOS7 设置IP、源、SSH密钥登录、自动补全、防火墙
- react native webview 百度地图_react-native-baidu-map使用及注意问题
- java对象命名_Java编码规范(命名规则).
- 使用youtube语音识别功能给视频加自动字幕
- 四川大学 计算机复试分数线,2015年四川大学考研复试分数线已公布
- linux中原子操作atomic_read、atomic_set、atomic_add、atomic_sub
- Google回归中国,你准备好成为Googler了吗?