2021 OWASP Top 10 Web Application Security Risks （1）

本文介绍: 2021 top10 应用安全风险，什么时候该用top10，如何使用 top10启动 apps ec 计划，详解A1A2

A02 Cryptographic Failures – OWASP Top 10:2021

The OWASP Top 10 i s a standard a war enes s document fo r developer s and web application security. It re present s a b r oa d cons ensu s ab out the most cri t ical security r i s ks t o web applications.

Glo ball y rec o gni zed b y developer s as the first step to war ds more secure coding.

Co m pan ies sh ould ad opt this document and start the process of ensuring that thei r web applications mini m ize these r isks. Usin g the OWASP Top 10 is per ha ps the most effective first step towar ds changin g the software development culture within your organization into one that pro duces more secure code.

Top 10 Web Appli cat ion Sec urity Risks

There are three new categories, four categories with namin g and scoping changes, and some c onsol idation in the Top 10 for 2021.

Mapping

A01:2021-Broken Access Control 失效的访问控制 m oves up fro m the fi ft h position; 94% of applications were tested for some form of bro ken access control. The 34 Com mon Weakness Enumerations (CWEs) mapped to Bro ken Access Con tr ol ha d more oc currences in applications than any other category.
A02:2021-Cryptographic Failures 加密失败，以前叫敏感数据泄露 shifts up one position to #2, pre v iously known as Sensi ti ve Data Exposure, whi ch was bro ad sy mptom rather than a root cause. The renewed focus here is on failures related to crypto graph y whi ch often leads to sensi tive data exp osure or system com promise.
A03:2021-Injection 注入 slides down to the thir d position. 94% of the applications were tested for some form of injection, and the 33 CWEs mapped into this category have the second most oc currences in applications. Cross-site Sc riptin g is now part of this category in this edition. 在这个版本中，XSS也属于这个分类
A04:2021-Insecure Design 不安全的设计 is a new category for 2021, with a focus on risks related to design fl aws. If we genuin ely want to “move left” as an industry, it calls for more use of threat modeling, secure de sign patterns and pr inc iples, and reference architectures.
不安全设计是 2021 年的新类别，重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“左移”，就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
A05:2021-Security Misconfiguration 安全的错误配置 moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Enti ties (XXE) is now part of this category. 2017版本的XXE现在属于这个分类。
A06:2021-Vulnerable and Outdated Components 脆弱过时的组件 was previously titled Using Comp onents with Known Vulnerabi li ties and is #2 in the Top 10 community survey, but also had enough data to make the Top 10 via data analysis. This category moves up from #9 in 2017 and is a known iss ue that we struggle to test and assess risk. It is the only catego ry not to have any Common Vulnerabi lity and Exposures (CVEs) mapped to the included CWEs, so a default exp loit and impact weights of 5.0 are factored into their scores.
A07:2021-Identification and Authentication Failures 识别和身份认证失败 was previously Broken Authentica ti on and is sliding down from the second position, and now includes CWEs that are more related to identification failures. This catego ry is still an integral part of the Top 10, but the increased av ai lability of standardized frameworks seems to be helping.
标识和身份验证失败以前是“身份验证中断”，并且从第二个位置下滑，现在包括与标识失败更相关的 CWE。这个类别仍然是前 10 名中不可或缺的一部分，但标准化框架可用性的增加似乎有所帮助。
A08:2021-Software and Data Integrity Failures 软件和数据完整性失效 is a new category for 2021, foc using on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. One of the highest weighted impacts from Common Vulnerability and Exposures/Common Vulnerability Sc oring System (CVE/CVSS) data mapped to the 10 CWEs in this category. Insecure Deserialization from 2017 is now a part of this larger category.
2021-软件和数据完整性故障是 2021 年的新类别，侧重于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。映射到此类别中 10 个 CWE 的常见漏洞和暴露/常见漏洞评分系统（CVE/CVSS）数据的最高加权影响之一。从 2017 年开始的不安全反序列化现在是这个更大类别的一部分。
A09:2021-Security Logging and Monitoring Failures was previously Insu ffi cient Logging & Monitoring and is added from the industry survey (#3), moving up from #10 previously. This category is ex pan ded to include more types of failures, is chal lenging to test for, and isn’t well represented in the CVE/CVSS data. However, failures in this category can directly impact visibility, inc ident alerting, and forensi cs.
不足的安全日志和监控以前是 Insu ffi cient Logging & Monitoring，是从行业调查（#3）中添加的，从之前的 #10 上升。此类别已扩展为包括更多类型的故障，测试具有挑战性，并且在 CVE/CVSS 数据中没有得到很好的表示。但是，此类别中的故障可能会直接影响可见性、事件警报和取证。
A10:2021-Server-Side Request Forgery is added from the Top 10 community survey (#1). The data shows a relatively low inc idence rate with above average testing coverage, along with above–average ratings for Exploit and Impact potential. This category represents the scenario where the security community members are telling us this is import ant, even though it’s not illustrated in the data at this time.
2021-服务器端请求伪造是从前 10 名社区调查（#1）中添加的。数据显示，检测覆盖率相对较低，检测覆盖率高于平均水平，漏洞利用和影响潜力评级也高于平均水平。此类别表示安全社区成员告诉我们这很重要的场景，即使目前数据中未说明这一点。

什么 时候用top 10

从2003年top 10出来后，就有组织把它当做标准，但是top10只是一个awareness document，使用top10的难点在于这些问题不一定是容易测试的问题

除了top10,owasp还有ASVS，是一个应用安全验证标准。如下表格显示了什么时候应该才用top10，什么时候用ASVS，可以看到ASVS是一个比较全面的标准，top10是一个比较基础的规则。

鼓励任何想要采用应用程序安全性的人使用 OWASP 应用程序安全验证标准（ASVS）的标准，因为它旨在进行验证和测试，并可用于安全开发生命周期的所有部分。

ASVS 是工具供应商唯一可接受的选择。工具不能全面检测、测试或防范 OWASP 前 10 名，原因是 OWASP十大风险中的几种性质，参考 A10：04-不安全的设计。OWASP不鼓励任何工具声明可以覆盖 OWASP 2021的top10，因为是不可能做到的。

如何使用 OWASP Top 10 启动 AppSec 计划

首先，OWASP Top 10 从未被设计作为 AppSec 计划。但是，对于许多人来说，从某个地方开始是必不可少的刚刚开始应用安全之旅的组织。 OWASP Top 10 2021 是一个良好的开端，作为清单和依此类推，但这本身是不够的。

第 1 阶段。确定应用安全计划的差距和目标

许多应用程序安全（AppSec）程序尝试在运行之前运行爬行或行走。这些努力注定要失败。我们强烈鼓励首席信息安全官和 AppSec 领导层使用 OWASP 软件保障成熟度模型（SAMM）用于识别弱点以及 1-3 年内需要改进的领域。第一步是评估您现在所处的位置，确定治理、设计、需要解决的实施、验证和操作确定哪些是需要立即解决的，哪些是可以排期解决的，并优先实施或改进15项 OWASP SAMM 安全实践。OWASP SAMM可以提供帮助建造并衡量软件保障工作的改进成都。

第 2 阶段 规划paved road secure development lifecycle

paved road的概念是“最简单的方式也是最安全的方式” ，包括开发团队和安全团队深度合作的文化，最好这两者属于是同一个team。paved road的目标是不断提升，衡量，检测，通过拥有企业范围的即插即用安全替换库替换不安全的组件，有工具可以检测需要做出哪些提升，这允许现有开发工具报告不安全的构建和帮助开发团队自我纠正，远离不安全的替代方案。

ai ms to continuously improve, measure, detect and replace insecure alternatives by having an enterprise-wide library of drop-in secu red replacements, with tooling to help see where improvements can be made by adopting the paved road. This allows existing development tools to repo rt on insecure builds and help development teams self-correct away from insecure alternatives.

实施paved road看起来需要做的东西很多，但它应该被建造，并且随着时间的推移不断提升。还有其他形式的appsec，如 Microsoft 敏捷安全开发生命周期。不是每种 AppSec 计划方法都适合每个企业，需要选择适合于自己企业的。

第 3 阶段。与您的开发团队一起实施paved road

铺砌道路的建造是经过相关的开发和运营团队。铺砌的道路应该是与业务战略保持一致，帮助交付更安全的服务应用程序更快。铺设道路的发展应该是一个整体涵盖整个企业或应用程序生态系统的练习，而不是每个应用程序的创可贴，就像过去一样。

第 4 阶段。将所有即将推出的和现有的应用程序 迁移到paved road

在开发应用时，使用paved road检测工具，来提升应用的安全。一旦采用了paved road的某个方面，组织就应该实施持续集成检查，检查现有代码和禁止替代方法并警告或拒绝代码合并。这样可以防止不安全的选项潜入代码中，防止技术债务和有缺陷的不安全应用程序。此类警告应链接到安全的替代方案，使开发团队会立即得到正确的方案。开发人员可以重构和快速采用paved road组件。

(如sonar报告，展示出问题的同时显示了如何修改问题的合规方案)

第 5 阶段。测试paved road是否缓解了 OWASP 前 10 名中发现的问题

paved road组件应重视OWASP top 10，例如，如何自动检测或修复 vulnerable components，或静态代码分析 IDE 插件，用于检测injection或开始使用已知的库来防御injection。尽可能提供给团队的安全的drop-in 代替品。 appsec 团队的一项重要任务是确保不断评估和提升这些组件的安全性。当这些组件更新后，使用这些组件的团队就应该知道应该升级这些组件，最好是自动升级，如果无法自动升级，最少可以用仪表盘工具告知大家。

第 6 阶段。将您的程序构建为成熟的 AppSec 程序

您不能止步于OWASP前10名。它只涵盖 10 种风险类别。我们强烈鼓励组织采用ASVS，并逐步增加paved road 1、2 和 3 级的组件和测试，具体取决于开发的应用程序的风险级别。

超越

所有出色的 AppSec 程序都超出了最低限度。每个人都必须遵守如果我们要掌握 AppSec 漏洞，那就去吧。

概念完整性。成熟的 AppSec 程序必须包含一些安全架构的概念，无论是正式的云还是企业安全架构或威胁建模
自动化和规模化。成熟的 AppSec 程序尝试自动化他们的大部分可交付成果，使用脚本来模拟复杂的渗透测试步骤，静态代码分析工具直接提供给开发团队，协助开发团队构建 AppSec 单元和集成测试等。
文化。成熟的 AppSec 程序试图构建不安全的设计和消除现有代码的技术债务，方法是开发团队的一部分，而不是一边。AppSec 团队将开发团队视为“我们”，而“他们”注定要失败。
持续改进。成熟的 AppSec 计划希望不断改进。如果某些东西不起作用，请停止这样做。如果有些东西笨拙或不可扩展，请努力改进它。如果开发团队未使用某些内容，并且没有或影响有限，做一些不同的事情。只是因为我们做到了自 1970 年代以来的案头检查等测试并不意味着它是一个好的想法。衡量、评估，然后构建或改进。

A01：2021 – 访问控制 中断

因素

映射的 CWE	最大发生率	平均发生率	平均加权漏洞利用	平均加权影响	最大覆盖范围	平均覆盖率	总发生次数	CVE 总数
34	55.97%	3.81%	6.92	5.93	94.55%	47.72%	318,487	19,013

概述

从第五位上升，94%的被测应用发现了某种形式的破坏访问控制，平均发生率为 3.81%，在贡献的数据集中出现次数最多，超过 318K。值得注意的常见弱点枚举（CWE）包括 CWE-200：向未经授权的行为者暴露敏感信息，CWE-201： 将敏感信息插入到发送的数据中，CWE-352：跨站点请求伪造。

描述

访问控制策略如用户不应该执行超过给定权限的动作，如果访问控制失效通常会导致未授权信息泄露，修改，数据或者执行超过用户限制的业务功能。

通用访问控制漏洞包括：

违反最小权限原则或默认拒绝原则，访问应仅授予特定功能，角色或用户，但却可以被任何人访问。is available to anyone
通过修改 URL（参数篡改或强制浏览）、内部应用程序状态或 HTML 页面，或使用攻击工具修改 API 请求。
允许查看或编辑他人的帐户，通过提供他人的唯一标识符（不安全的直接对象引用）
访问 API，但缺少对 POST、PUT 和 DELETE 的访问控制。
特权提升 elevation of privilege。在未登录的情况下以用户身份行事，或以用户身份登录时充当管理员。
元数据操作，例如重播或篡改 JSON Web 令牌（JWT）访问控制令牌，或者 Cookie 或隐藏字段纵以提升权限或滥用 JWT 失效。
CORS 配置错误允许从未经授权/不受信任的源发起。
强制以未经身份验证的用户身份浏览经过身份验证的页面，或者以标准用户身份访问特权页面。

如何预防

访问控制仅在受信任的服务器端代码中有效，或者无服务的API，因为攻击者无法修改访问控制检查或元数据。

除公共资源外，默认为 deny。
实施一次访问控制机制，并在整个过程中重复使用它们应用程序，包括最大程度地减少跨域资源共享（CORS）的使用。
model access controls should enforce record ownersh ip，而不是接受用户可以创建、读取、更新或删除任何记录。（从数据方面进行权限控制）
应通过 domain models 强制执行独特的应用程序业务限制要求。
禁用 Web 服务器目录列表并确保文件元数据（例如， .git）和备份文件在 Web 根目录中不存在。
日志访问控制失败，在适当的时候提醒管理员（例如，重复失败）。
速率限制 API 和控制器访问，以最大程度地减少自动化攻击工具。
注销后，服务器上的有状态会话标识符应失效。无状态的 JWT 令牌应该是短暂的，以便攻击者的机会被最小化。对于long lived JWT，强烈建议按照 OAuth 标准撤消访问权限。

开发人员和 QA 人员应包括功能访问控制单元和集成测试。

示例 攻击 场景

场景 #1：应用程序在 SQL 调用中使用未经验证的数据，该调用正在访问帐户信息：

 pstmt.setString(1, request.getParameter("acct"));
 ResultSet results = pstmt.executeQuery( );

攻击者只需修改浏览器的“ac ct”参数即可发送他们想要什么帐号。如果未正确验证，攻击者可以访问任何用户的帐户。

 https://example.com/app/accountInfo?acct=notmyacct

场景#2：攻击者只是强制浏览到目标 URL。管理访问管理页面需要权限。

 https://example.com/app/getappInfo
 https://example.com/app/admin_getappInfo

如果未经身份验证的用户可以访问任一页面，则这是一个缺陷。如果非管理员可以访问管理页面，这是一个缺陷。

A02：2021 – 加密失败

A02 Cryptographic Failures – OWASP Top 10:2021

因素

映射的 CWE	最大发生率	平均发生率	平均加权漏洞利用	平均加权影响	最大覆盖范围	平均覆盖率	总发生次数	CVE 总数
29	46.44%	4.49%	7.29	6.81	79.33%	34.85%	233,788	3,075

概述

向上移动一个位置到 #2，以前称为敏感数据暴露，这更像是一个广泛的症状，而不是根本原因，重点是与密码学（或缺乏密码学）相关的故障。这通常会导致敏感数据的暴露。包括值得注意的常见弱点枚举（CWE）是 CWE-259：使用硬编码密码，CWE-327：损坏或有风险加密算法和 CWE-331 熵不足。

描述

首先是确定传输和存储时的数据的保护需求。例如，密码、信用卡号、health records、个人信息和需要额外的保护的商业机密，主要是如果该数据属于隐私法，例如欧盟的通用数据保护条例（GDPR）或法规，例如金融数据保护，例如 PCI 数据安全标准（PCI DSS）。对于所有此类数据：

是否有任何数据以明文形式传输？这涉及以下协议如 HTTP、SMTP、FTP 也使用 TLS 升级，如 STARTTLS。外部互联网流量是危险的。验证所有内部流量，例如，在负载平衡器、Web 服务器或后端系统之间。
是否默认使用了任何旧的或弱的加密算法或协议，或者旧的代码中有这些。
是否正在使用默认加密密钥、生成的弱加密密钥或重复使用，还是缺少适当的密钥管理或轮换？加密密钥是否签入源代码存储库？
是否不强制执行加密，例如，是否任何 HTTP 标头（浏览器）缺少安全指令或标头？
收到的服务器证书和信任链是否经过正确验证？
初始化向量是否被忽略、重用或未生成对于加密操作模式是否足够安全？是否正在使用像欧洲央行这样的不安全的操作模式？是加密当经过身份验证的加密更合适时使用？
密码是否在没有密码的情况下被用作加密密钥密码库密钥派生功能？
随机性是否用于非设计的加密目的是否满足加密要求？即使正确的功能是选择，它是否需要由开发人员播种，如果没有，则有开发人员覆盖了内置的强大种子设定功能它有一个缺乏足够熵/不可预测性的种子？
是否正在使用已弃用的哈希函数（如 MD5 或 SHA1），或者加密哈希函数时使用的非加密哈希函数需要吗？
是否使用已弃用加密填充方法，例如 PKCS 编号 1 v1.5 正
加密错误消息或侧信道信息是否可利用，例如以填充预言机攻击的形式？

请参阅 ASVS 加密（V7）、数据保护（V9）和 SSL/TLS （V10）

如何预防

至少执行以下操作，并查阅参考资料：

对应用程序处理、存储或传输的数据进行分类。根据隐私法确定哪些数据是敏感的，法规要求或业务需求。
不要不必要地存储敏感数据。尽快丢弃可能或使用符合 PCI DSS 标准的标记化甚至截断。未保留的数据不能被盗。
确保对所有静态敏感数据进行加密。
确保最新和强大的标准算法、协议和钥匙已到位;使用适当的密钥管理。
使用安全协议（如 TLS）加密传输中的所有数据前向保密（FS）密码，密码优先级由服务器和安全参数。使用指令强制加密类似于 HTTP 严格传输安全（HSTS）。
禁用包含敏感数据的响应的缓存。
根据数据分类应用所需的安全控制。
不要使用FTP和SMTP等传统协议进行传输敏感数据。
使用强大的自适应和加盐哈希函数存储密码具有功因数（延迟因数），例如 Argon2、scrypt、bcrypt 或 PBKDF2.
初始化向量的选择必须使适用于运作模式。对于许多模式，这意味着使用 CSPRNG（以加密方式安全伪随机数生成器）。对于需要 nonce的模式，则初始化向量（IV）不需要 CSPRNG。在所有情况下，对于固定密钥，IV切勿使用两次。
始终使用经过身份验证的加密 authenticated encryption，而不仅仅是加密。
密钥应以加密方式随机生成并存储在内存作为字节数组。如果使用密码，则必须对其进行转换通过适当的密码库密钥派生函数到密钥。
确保在适当的情况下使用加密随机性，以及它没有以可预测的方式或低熵播种。大多数现代 API 不需要开发人员seed the CSPRNG 来获得安全性。
避免使用已弃用的加密函数和填充方案，例如 MD5、SHA1、PKCS 编号 1 v1.5。
独立验证配置和设置的有效性。

示例攻击场景

场景 #1：应用程序对信用卡号在数据库中存储使用数据库自动加密。但是，这样数据会在获取时自动解密，允许 SQL 注入缺陷以明文形式获取信用卡号。

场景 #2：网站不对所有页面使用或强制使用 TLS，或者支持弱加密。攻击者监控网络流量（例如，在不安全的无线网络），将连接从 HTTPS 降级到 HTTP，拦截请求，并窃取用户的会话 cookie。然后，攻击者重放此 cookie 并劫持用户的（经过身份验证的）会话，访问或修改用户的私人数据。除了所说的，还可以更改所有传输的数据，例如，接收者汇款。