关于OWASP Top10 2021版本的整理.pdf

关于OWASPTop102021的整理

关于OWASPTop102021的整理

前⾔

OWASP(openwebapplicationsecurityproject)⼀个开放的在线社区,致⼒于使组织能够开发、购买和维护可信赖的应⽤程序和API。

⽽owasptop10该组织统计当年内出现频率和问题最⾼的漏洞。进⾏排名和相关说明，来帮助开发者进⾏修改和发展。

2021版的owasp也已经更新，分别依次：失效的访问控制、加密失败、注⼊、不安全的设计、安全配置错误、易受攻击和过时的组件、

认证和授权失败、软件和数据完整性故障、安全⽇志记录和监控失败、服务端请求伪造（SSRF）。2021中出现了三个新类别，四个类别

的命名和范围发⽣了变化。

A01:2021失效的访问控制

链接地址：/Top10/A01_2021-Broken_Access_Control/

数据要素

CCWWEESS映映射射最最⼤⼤发发⽣⽣率率平平均均发发⽣⽣率率平平均均加加权权漏漏洞洞利利⽤⽤率率平平均均加加权权漏漏洞洞影影响响率率最最⼤⼤覆覆盖盖范范围围平平均均覆覆盖盖范范围围总总发发⽣⽣次次数数CCVVEE总总数数

3455.97%3.81%6.925.9394.55%47.72%31848719013

概述

在2021中从之前的第五名跃升到榜⾸；94%的应⽤程序都经过了某种形式的破坏访问控制的测试。映射到失效的访问控制的34个CWE在

应⽤程序中出现的次数⽐任何其他类别都多。其中值得关住的常见CWE有：CWE-200：将敏感信息暴露给未经授权的参与者、CWE-201

通过发送的数据暴露敏感信息以及CWE-352：跨站请求伪造。

描述

失效访问控制就执⾏策略，使⽤户不能超出其预期权限⾏事。如果策略失败就会导致未经授权的信息被暴露、修改或者销毁相关数据，更

有甚者在⽤户限制之外执⾏业务功能。另外，通俗点讲失效的访问控制其实就⼀种越权操作⾏为，这种越权主要表现为⽔平越权和垂直越

权⾏为。下⾯⼀些主要的常见问题：

1违反最⼩特权原则或默认拒绝，其中仅应授予特定能⼒，⾓⾊或⽤户访问权限，但任何⼈都可以访问。

2通过修改RL（参数篡改或强制浏览）、内部应⽤程序状态或HTML页⾯，或使⽤攻击⼯具修改API请求来绕过访问控制检查

3访问API时缺少对POST、PT和DELETE的访问控制。

4特权提升。在未登录的情况下充当⽤户或以⽤户⾝份登录时充当管理员。

5元数据操作，例如重放或篡改JSONweb令牌（JWT）访问控制令牌，或⽤于提升权限或滥⽤JWT失效的cookie或隐藏字段。

6CORS（跨域）错误配置允许来⾃未经授权/不受信任的来源的API访问。

7强制以未经⾝份验证的⽤户⾝份浏览经过⾝份验证的页⾯或以标准⽤户浏览特权页⾯。

对于上述提到的问题其实说具体点可以说⽂件包含或这⽬录遍历，由于控制不严使⽤户可以对⽹站进⾏⾮法操作，得到⼀些敏感信息和对

⽹站不利的信息；还有就权限绕过和提升，例如⽹站存在漏洞使恶意者得到⼀个账户就可以对其它平级⽤户实现操作，或者严重⼀点的可

以借此获得管理员权限；还有就对不安全直接对象的引⽤，有时候⽹站在跨站访问⼀些资源的时候由于配置错误或者控制不严，使⽹站暴

露在危险之中。

失效的访问控制的防御思路

1.访问控制仅在受信任的服务器代码或⽆服务器API中有效，攻击者⽆法修改访问控制检查或元数据。

1除公共资源外，默认拒绝。

2实施⼀次访问控制机制并在整个应⽤程序中重复使⽤它们，包括最⼤限度地减少跨源资源共享(CORS)的使⽤。

3模型访问控制应该强制记录所有权，⽽不接受⽤户可以创建、读取、更新或删除任何记录。

4独特的应⽤程序业务限制要求应由领域模型强制执⾏。

5禁⽤Web服务器⽬录列表并确保⽂件元数据（例如.git）和备份⽂件不在Web根⽬录中。记录访问控制失败，在适当时提醒管理员（例如，重复失败

）。

6速率限制API和控制器访问，以最⼤限度地减少⾃动攻击⼯具的危害。

7注销后，服务器上的有状态会话标识符应失效。⽆状态JWT令牌应该短暂的，以便最⼩化攻击者的机会窗⼝。对于寿命较长的J