欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

OWASP Top Ten 2017版: 得与失

来源:本站整理 作者:佚名 时间:2017-07-12 TAG: 我要投稿

新的 OWASP Top Ten已出版。让我们来看看一个安全研究员是如何评论今年该版本的得与失。
OWASP Top 10将常见的 web 应用安全漏洞进行了大致分类,有助于团队专注于web 应用程序的各项关键安全活动。我在华盛顿大学教授 Web 应用程序安全课程时,就结合了 OWASP Top 10及其框架。在为Security Innovation(美国知名网络安全供应商)执行应用安全评估的时候,我也用它来对发现的安全漏洞进行归类与分组。然而,我在实践中对它使用得越多,其的好处和缺陷也就越是凸显。
其2017候选版(或称待发版),提供了改进,但是也引入了新的问题。为了使其我的建议列表更为有效,如下将以重要程度为顺序展开:
将A4的"失效的访问控制"措词变更为"失效的授权控制",以阐明和拓展其含义。
简化A7为专注于日志记录/审计,这是一个可以完全独立开展的关键安全活动。
删除A10的"未受保护的APIs",在其他类别中添加有关APIs的文字。或是将该类别改为备份。
合并的类别
2017候选版本将 2013年版中类别"A4-不安全的直接对象引用"和"A7-功能级访问控制缺失"合并到了一个单独的类别--"A4失效的访问控制"。我认为这是明智之举,它创造了一个更广泛和强健的、集中于授权控制的类别。然而,我更趋向于将"授权"也包含到该类别的标题中,使之更好地与其他安全框架进行交互。这也将与他们在A2缺失的验证和会话管理中使用到的"验证"相呼应。
为什么呢?
新的“A4失效的访问控制”类别被描述为"对通过了身份验证的用户的限制"没有得到适当的强制执行。攻击者可以利用这些漏洞访问未经授权的功能和/或数据,如访问各种其他用户的帐户、查看敏感的文件、修改其他用户的数据、 更改访问权限等。A4假定用户已经通过了身份验证,而且一旦通过了验证,他将只专注于访问。其实还应该有一句明确且被广泛采用的词语--授权。A4并非关于失效的访问控制,因为它在广义上不太与"访问"相关。它并不涉及身份验证,这在A2中已经有所涵括。A4只专注与授权有关的问题,因此,应该把名称中的"访问"一词替换的。其标题才能够反映出真正的意义和具体的问题。
虽然这可能让人会感觉只是一个语义的问题,但我相信这个措辞的变化对于其上下文的语境并达成理解上的共识是非常重要的。在业界,身份验证和授权有着明确和特定的含义,所以它们应该反映在OWASP的标准中。
对于今年引入的两个新的类别:“A7-攻击检测与防范不足”和“A10-未受保护的API”,这些都是为了试图跟上不断进化的 web 应用环境而引入的。不过,我相信OWASP其他类别的涉及面会使得这两个新类略显多余。
A7-攻击检测与防范不足
这个类别被定义为:"大多数的应用程序和API缺乏针对手动和自动攻击的检测、 以及防止和响应的基本能力。攻击保护远远超出了基本的输入验证,并且涉及到自动检测、记录、响应甚至阻止攻击对漏洞利用的尝试。应用程序所有者还需要有快速部署修补程序以防止攻击的能力。
输入验证能够检测、响应、并且阻止攻击对漏洞利用的尝试。
A7将控件描述为应该"不仅仅是基本的输入验证,还涉及到检测、记录、响应甚至阻止攻击对漏洞利用的尝试。"而这正是输入验证的作用 — — 它检测到恶意或不应出现的用户输入所引发的错误,通过去除,记录或阻止它来作为响应。如果应用程序请求一美元金额的银行转帐,而用户提供的确是一个负数,那么应用程序将能识别该恶意输入,并通过阻断交易来作出回应。所以说将输入验证区别于检测和对漏洞利用尝试的响应,显然在本质上的不准确和具误导性的。
A9 和 A5中涉及到的修补
A7里提到:"应用程序所有者还需要有快速部署修补程序以防止攻击的能力。"而准确地说,这与A9-使用已知漏洞的组件,以及A5-安全配置错误 (其中包括了"软件应该保持更新")重复了。将修补问题单独成为一个类别,显然是多余的,而且降低了分类的价值。
A7类别并未给整张表带来任何新的内容
如前文所述,用适当的控制来验证用户的输入,以防止A1注入攻击、A2失效的身份验证、A3跨站脚本(XSS)、A4失效的授权、A6敏感信息的泄漏、A8跨站请求伪造(CSRF),所有这些都涵括了检测用户输入、记录(有时候)、响应甚至阻止恶意攻击。登录页面不能节流各种访问的尝试吗?这都是A2或A5涉及到的问题。如果有人使用SQLMap试图攻击的话,这就是A1涵括的问题。如果应用程序需要一个补丁的话,这就是A9涉及到的问题。
A7涵括的是应用程序,而设备则通常超出范围了
如果我们暂时接受攻击防护不足这种类别,那么对于一个组织来说,要解决这问题的最佳途径似乎就是部署 IDS / IPS / WAF设备了。然而,所有这些措施 (网络硬件和基础设施设备) 都是外部的,并非web应用的一部分。虽然我也知道应用程序并非在隔离状态下运行的,但OWASP Top 10应该更关注于web应用的安全,而不是更大的、基础设施方面的生态系统的安全。一念之差,则会在概念上滑入深渊。
不是要治标,而是要治本
A7似乎激发了"将技术掷向问题"的行为。整个行业越来越愿意为“商家过度炒作,却无法兑现”而买单。这些功效有待验证的、面向企业的动态漏洞检测与缓解方案成为了各种公司的巨大财务支出。这些设备本身并无良莠差别,但是在使用的时候应当仔细考虑它们的自身优势和特点。我曾供职过一家大型企业,他们宁可选择部署Web 应用防火墙(WAFs),而不去真正地修复其web应用程序中的问题。我去与他们的应用程序所有者交流,他们告知我之所以不愿意修复web应用程序的各种漏洞发现,是因为他们已经有了入侵检测系统(IDS),能够捕获各种SQL注入

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载