从OWASP Top10简要分析Web安全漏洞的趋势

OWASP（The Open Web Application Security Project）：开放式Web应用程序安全项目

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究，在业界具有一流的影响力和权威性。

从OWASP组织发布的项目，可以了解历年来主流Web安全漏洞类型，及其随时间而变迁的大致情况。

以下为2010,2013,2017年度发布的Top10 Web安全漏洞排行，可作参考
OWASP项目-传送门：http://www.owasp.org.cn/owasp-project
OWASP Top 10： 2010 VS 2013

OWASP Top 10： 2013 VS 2017

从以上图例观察，这三次发布的Top10 Web安全漏洞排行中，初步分析：

• 1.注入漏洞、失效的身份认证始终分列在第1位和第2位，一定程度说明其重要性和攻击危害的程度

• 2.跨站脚本攻击，在13年前后一段时间里排行也比较靠前，当时XSS算是比较多存在的情况，最近几年也存在不少，但比以往网站已经提高了安全意识进行防御

• 3.敏感信息泄露，由不安全的加密存储和传输层保护不足合并而成。以往也普遍存在该漏洞，当时重视程度并不算太高，但最近几年一些知名的公司暴露出大量用户的隐私信息事件之后，所造成的负面影响比较大，因此越来越开始重视起来

• 4.失效的访问控制，由不安全的直接对象引用和功能级访问控制缺失合并而成。对于攻击者伪造成特权用户、管理员等身份进行数据的操纵，对正常用户和网站管理房都有比较大的威胁，引起危害性较大，近年来也比较受重视

• 5.安全配置错误，这个也是历年来比较常见而且重要的安全问题，因相关配置没有控制好权限和安全规范，导致一些敏感信息暴露，异常抛出时也把权限以外的数据展示出来

• 6.跨站请求伪造，在最近几年似乎没有前几年那么活跃，可能网站管理者对这方面的安全意识越来越高，被利用的难度和代价加大

• 7.使用含有已知漏洞的组件，比如库、框架、模块本身存在已知公开的漏洞还继续使用，则有可能被攻击者所利用，对数据存储、服务器权限操作有安全隐患

• 8.近年新出现的：XML外部实体、不安全的反序列化、不足的日志记录和监控。
  1）XXE，基于XML的Web服务，若支持XML外部文件上传提交，可能在XML文件中插入不受信任的数据，提交后由XML处理器解析存在安全风险
  2）不安全的反序列化，可能导致远程代码执行，以及权限升级攻击
  3）不足的日志记录和监控，缺陷没有及早在本地环境检测和监控到并加以防范，导致有的缺陷一致暴露在正式访问环境中，很有可能被攻击者所利用