OWASP重點突出的Web應用程式中10大關鍵漏洞

OWASP基金會(非營利性)致力於透過社群和從其網站輕鬆訪問的免費資源來提高Web應用程式的安全性。在它提供的眾多資源中，以“OWASP Top 10”最 出名。

OWASP Top 10旨在識別和突出 Web 應用程式中十大關鍵的安全漏洞，併為開發人員和安全專業人員提供必要的指導。OWASP Top 10每隔幾年更新一次，最後一次更新是在 2021 年。

WebGoat

WebGoat 是OWASP 的一個專案，專門設計來教授開發人員和安全專業人員關於web應用程式中常見的漏洞以及如何解決這些漏洞。WebGoat是一個故意包含安全漏洞的不安全的web應用程式，使用者可以利用這些漏洞進行測試和學習。

WebGoat 可以從其官方

還可以在 Docker 中使用

OWASP Top 10

1.訪問控制中斷

訪問控制中斷是指對允許經過身份驗證的使用者在應用中執行的操作設定的限制不足。使用者許可權和許可權實現中的這些缺陷允許使用者執行超出其預期許可權的操作或訪問資料。訪問控制中斷的一個例子是，一個標準使用者在沒有適當許可權的情況下，簡單地操縱一個URL來訪問應用程式中的管理功能。

2. 加密失敗

這種安全風險與加密的不正確實現或使用有關，例如使用過時的演算法或不正確的金鑰管理配置。熟練的網路攻擊者可以輕而易舉地繞過薄弱或配置錯誤的加密技術來篡改Web應用程式或訪問敏感資料。

3.SQL隱碼攻擊：

Web應用程式中的注入漏洞允許攻擊者構建惡意輸入，從而欺騙應用程式執行意想不到的命令。最 常見的型別是SQL隱碼攻擊，攻擊者操縱Web應用程式的資料庫查詢。

4. 不安全的設計

Web應用程式中的不安全設計意味著架構和基礎選擇本身就缺乏安全考慮。這些有風險的選擇可能會使應用程式容易受到攻擊，無論單個程式碼級安全措施如何。

5. 安全配置錯誤

當安全設定和控制元件實現不當、保持預設值或完全忽略時，就會發生Web應用程式中的安全錯誤配置。錯誤配置的風險包括未受保護的檔案、目錄或資料庫，它們會促進對有價值的資料或系統功能的意外訪問。

6. 易受攻擊和過時的元件

Web 應用程式中易受攻擊和過時的元件是指存在已知安全漏洞但尚未被開發人員更新或修補的第三方庫、外掛、框架和其他軟體模組。

依賴易受攻擊元件的 Web 應用程式會繼承其缺陷，這為威脅參與者提供了潛在的利用途徑。

7. 失效身份驗證和會話管理

有缺陷的身份驗證機制(如弱密碼策略、缺乏多因素身份驗證或未正確實的會話管理)使攻擊者能夠冒充合法使用者或完全繞過身份驗證檢查。

這些故障為未經授權的資料訪問、身份盜竊和潛在的使用者帳戶接管鋪平了道路。

8. 軟體和資料完整性故障

當應用程式無法確保資料和應用程式程式碼的真實性和可信度時，就會發生軟體和資料完整性故障。完整性是指確保資料和程式碼在原始狀態中保持不變和真實。

軟體和資料完整性方面的故障會帶來未經授權的修改風險，從而導致欺詐 交易或惡意程式碼被插入應用程式。

9.安全日誌記錄和監控故障

這種風險與應用程式中活動記錄不足或無法主動檢測和實時響應惡意行為有關。

缺乏詳細的日誌或缺乏監控會造成盲點，從而無法及時檢測未經授權的訪問、資料洩露或其他惡意活動。

10. 伺服器端請求偽造

伺服器端請求偽造(server - side Request Forgery, SSRF)是一種安全漏洞，攻擊者可以操縱web應用程式，使其代表伺服器向內部資源或第三方系統發出不必要的請求。

這種風險促進了網路基礎設施的橫向移動，並使攻擊者能夠與後端服務互動或洩露資料。

參讀連結：

https://www.welivesecurity.com/es/recursos-herramientas/owasp-top-10-vulnerabilidades-criticas-aplicaciones-web/