資安人須知的 OWASP TOP 10 資安風險來源(上)

OWASP 主要蒐集各種網頁安全漏洞,歸納出好發且容易攻擊的弱點,彙整為十大資安問題、排名、防範措施;目前已逐漸被政府或民間機構,列入資安參考指標之一。在最新的 2017 年版中,新增了 3 個全新的資安風險,包括常見的「A4-XML 漏洞」、「A8-不安全的反序列化漏洞」,以及「A10-紀錄與監控不足」等風險。

OWASP(Open Web Application Security Project)已逐漸被政府或民間機構,列入資安參考指標之一。OWASP 主要蒐集各種網頁安全漏洞,歸納出好發且容易攻擊的弱點,彙整為十大資安問題、排名、防範措施。


目前釋出最新的版本為 2017,有別於 2013 版本,新增了 3 個全新的資安風險,包括常見的「A4-XML 漏洞」、「A8-不安全的反序列化漏洞」,以及「A10-紀錄與監控不足」等風險。


圖 1:OWASP TOP 10 2013 vs 2017;資料來源:OWASP 官方文件

OWASP也強調,沒有詳列在 TOP 10 中的項目,也不代表不重要,仍建議要留意任何可能被攻擊的風險。以下,就讓我們檢視 OWASP TOP 10 2017。


A1:2017-Injection 注入攻擊

這除了是 2017 版的第一名,同時也是 2013 版的第一名。廣為人知的是 SQL Injection,通常會發生在惡意程式輸入時;主要是因為沒有經過妥善的檢查、排除符號等,所造成的弱點風險。

可能造成洩漏機敏資料(A3),讓竊取者可讀取資料庫,或進而發生作業系統漏洞,執行系統指令,甚至讓主機被竊取者接管等等。

建議的控制措施為:

  • 使用 Prepared Statements、Stored Procedures。
  • 嚴密檢查所有輸入值。
  • 控管錯誤訊息僅管理者可以閱讀。
  • 使用過濾字串函數過濾非法的字元。
  • 控管資料庫及網站使用者帳號權限。

A2:2017-Broken Authentication 無效的身分驗證

發生 Broken Authentication 風險通常是脆弱的帳戶認證,或是採取了不安全的管理機制。例如:登入未加密、Session 無控管 Cookie 為保護等。這容易造成帳號 / 身分盜用,或身分認證機制無效化,讓有心人士可肆意在伺服器做任何新增修改刪除查詢,進而接管主機等。

建議的控制措施為:

  • 使用完善的 Cookie Session 保護機制。
  • 不允許外部 Session。
  • 登入及修改資訊頁面使用 SSL 加密。
  • 設定完善的 Timeout 機制。
  • 多因素認證。
  • 驗證密碼強度及密碼定期更換機制。

A3:2017-Sensitive Data Exposure 機敏資料外洩

當資料未加密、或使用脆弱的金鑰時,容易使得密碼被攻破,造成機敏資料外洩的風險,將重要資料暴露在危險之中。常見於網路應用程式對於資料的保護不足,若駭客取得這些金融資訊、個人資料,即可偽造 / 竊取身分,或進行其他的犯罪行為。

建議的控制措施為:

  • 備份檔、開發版本不應出現於正式機上 
  • 使用完善的 Cookie Session 保護機制。
  • 軟體中已經被識別的機敏資料,於實作階段應考量於傳輸時、儲存時、備份後,採用加密作法。
  • 使用國際機構驗證且未遭破解的演算法,不使用自行創造加密方式。
  • 盡可能使用該演算法支援的最大金鑰長度。應對金鑰進行適當保護,金鑰應定期更換。

A4:2017-XML External Entities (XXE) [NEW] XML 外部處理器弱點

此項目為 2017 年新進榜,主要因為以 XML 為基礎的網路應用程式沒有做好管控權限,直接讀取外部資源提供的 XML 檔案。故攻擊者可以利用 XML 為基礎,讓系統讀取後,進行文件的共享、監聽內部網路、執行遠端城市,進而導致資料外洩,或系統被駭客接管。

建議的控制措施為:

  • 修補或升級有引用的套件,並將 XML 升級到最新。
  • 驗證 XML 或 XSL 文件是否經 SCD 驗證會類似方法傳入。
  • 禁止外部實體引用。

A5:2017-Broken Access Control [Merged] 無效的存取控管

此項合併了在 2013 容易被混淆的 A4 與 A7,將存取控管擴大定義。攻擊者可透過網址或 HTML 頁面,繞過存取控制;或將自己的權限提升自管理者,進而攻破公司系統等。

建議的控制措施為:

  • 避免將物件直接暴露給使用者。
  • 驗證所有物件是否為正確。
  • 預設禁止任何存取行為,並先判斷使用者是否有權限。

以上是 OWASP TOP 10 2017 的前五名,而新進榜之不安全的反序列化漏洞,以及紀錄與監控不足風險將於下篇介紹。

參考資料:

[1]OWASP TOP 10 2017 官方網站

Related Articles or Videos

|

No Commit {{ total }} Commit {{ total }} CommitsShow All
author

  • No published articles