OWASP Top10 2017发布，应用安全风险新增三名成员

OWASP（开放式Web应用程序安全项目）的工具、文档、论坛和全球各地分会都是开放的，对所有致力于改进应用程序安全的人士开放，其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。 

 

OWASP Top 10多年来经历了几次迭代，之前的版本包括2004年、2007年、2010年、2013年和2017年发布。

 

从发布的表中，我们可以看到“注入”仍然是应用安全风险中排名第一。虽然排名顺序发生了细微的变化，但2017年的owasp中出现了三名新成员，他们分别是 XML外部实体（XXE），不安全的反序列化，以及不足的记录和监控。

 

同前几年一样，排名是根据用户意见和公开讨论编写的。 下面是每个缺陷的描述列表，以及比较OWASP 2017 Top 10与旧版迭代的表格。

 

攻击者可以通过应用程序中不同的路径方法对企业的业务或者企业组织进行攻击。有些，有些路径可以被轻而易举的发现，有的则非常困难。为了确定企业的风险，可以综合其产生的技术影响和对企业的业务影响，去评估威胁代理、攻击向量和安全漏洞的可能性。

 

下图为2017owasptop10风险评估表，具体评估情况还需具体问题具体分析。

来源owasp官网

A1:2017-注入

当不可信数据作为命令或查询的一部分发送给解释器时，会发生注入漏洞，如SQL，NoSQL，OS和LDAP注入。攻击者的恶意数据可能会诱使解释器执行意外的命令或在没有适当授权的情况下访问数据。

 

A2：2017-失效的身份认证

认证和会话管理相关的应用功能实现过程不合理时，使得攻击者可以破坏密码，密钥或会话令牌，或者利用其他实施缺陷暂时或永久占用其他用户的身份。

 

A3：2017-敏感的数据曝光

许多Web应用程序和API不能正确保护敏感数据，如财务数据，医疗保健数据和PII。攻击者可能会窃取或修改这些缺乏安全保护措施的数据，从而进行信用卡欺诈，身份盗用或其他犯罪行为。由此可见，敏感数据加密显得尤为重要，如：传输过程、被存储的数据以及浏览器交互数据。

 

A4：2017-XML外部实体引用（XXE，新增）

许多旧的或配置不佳的XML处理器评估XML文档中的外部实体引用。外部实体可用于使用文件URI处理程序，内部文件共享，内部端口扫描，远程代码执行和拒绝服务攻击来公开内部文件。

 
A5：2017 - 损坏访问控制

未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些漏洞访问未经授权的功能或数据，例如访问其他用户的帐户，查看敏感文件，修改其他用户的数据，更改访问权限等。

 

A6：2017-安全性错误配置

安全配置错误是最常见的问题。通常是不安全的默认配置，不完整或特殊配置，开放的云存储，错误配置的HTTP标头，以及包含敏感信息的详细错误消息的结果。不仅所有操作系统，框架，库和应用程序都必须进行安全配置，而且必须及时进行修补和升级。

 

A7：2017-跨站点脚本（XSS）

如果应用程序在未经适当验证或转义的情况下在新网页中包含不受信任的数据，或者使用可以创建HTML或JavaScript的浏览器API更新用户提供的数据的现有网页，就会出现XSS漏洞。 XSS允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话，破坏网站或将用户重定向到恶意网站。

 

A8：2017-不安全的反序列化（新增）

不安全的反序列化通常导致远程代码执行。即使反序列化瑕疵不会导致远程代码执行，也可以用来执行攻击，包括重播攻击，注入攻击和特权升级攻击。

 

A9：2017-使用含有已知漏洞的组件

组件（如库，框架和其他软件模块）以与应用程序相同的权限运行。如果一个易受攻击的组件被利用，这种攻击可能会导致严重的数据丢失或服务器接管。使用已知漏洞组件的应用程序和API可能会破坏应用程序防护并启用各种攻击和影响。

 

A10：2017-不足的记录和监测

记录和监视不足，再加上事件响应缺失或无效集成，攻击者可以进一步攻击系统，维持持久性，转向更多的系统，并篡改，提取或销毁数据。大多数违规研究显示，检测违规的时间超过200天，通常由外部各方检测，而不是内部过程或监控。

 

以上信息来源owasp中国及网络整理。如涉及版权，请联系小编删除。详细参考说明：http://www.owasp.org.cn/owasp-project/2017-owasp-top-10

 

悬镜安全：

悬镜安全实验室由资深安全专家结合多年的安全工程实施经验和技术储备为行业客户提供专业的安全保障和安全咨询等服务，主要包括：服务器防黑加固、高级渗透测试、安全事件应急响应、信息系统安全风险评估、安卓App风险评估及APT模拟攻击测试等，全天候7*24位金融、电商、开发者和政企客户的各类应用服务提供一站式【云+端】防黑加固解决方案。