将爱科识应用于OWASP十大安全风险检测
作为一个致力于增强Web应用程序安全性的国际组织,开放式Web应用程序安全项目(OWASP)发布了一份清单,列举了当前全球十大Web应用程序安全风险。所有开发人员和安全专业人员都应熟悉这些风险漏洞,并有效利用这份列表。
爱科识可识别OWASP十大列表中的问题,
并提供修复建议。
OWASP十大安全风险是什么?
注入
将不受信任的数据通过输入方法传递到发送到Web应用程序时,会产生诸如SQL、NoSQL、OS和LDAP的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。从而导致对敏感数据的提取、修改、破坏、恶意代码的放置或程序的不正确运行。
失效的身份验证
通过错误使用应用程序的身份认证,如默认用户名和密码等,可以引起失效的身份验证,攻击者往往可以利用这些来直接攻击、破解系统。此外,在任一网站上的用户名、密码泄露都可能给该用户在其他站点上的账户安全带来风险。除了密码攻击之外,包括针对会话管理等应用程序更难以识别,且可能带来更高级别的威胁。
敏感信息泄露
敏感数据泄露是指由于缺乏完善的保护,客户的私人数据或公司的保密信息在无意中遭到泄露。敏感数据泄露与恶意数据泄露不同。任何人都可访问Web系统,并提取重要信息,包括密码、管理员凭据、交易信息、电话号码、信用卡信息和联系信息等。将敏感信息存储在未加密的纯文本文件中,也可能导致数据的泄露。
XML外部实体(XXE)
XML在服务器配置和软件管理工具中无处不在。使用未及时更新、或者缺少适当的安全修复程序的XML库对外部实体进行解析,往往会带来安全隐患。恶意攻击者可以利用外部实体,危机您的系统文件,甚至整个系统。
失效的访问控制
失效的访问控制是指系统未对通过身份验证的用户实施恰当的访问控制,也就是说,用户可以访问超出其特权级别的数据和功能。攻击者可以利用这些缺陷,从普通账户中获取管理员权限。
安全配置错误
安全配置错误的原因多样,包括安装后未对系统密码进行修改、未应用适当访问控制而打开的调试通道的密码等。攻击者可以利用安全配置错误访问内部网络和系统。因此,我们在手动操作后不应激活安全功能,对所有的操作系统、框架、库和应用程序进行安全配置,将其放置在适当位置,防止被人恶意使用。
跨站脚本(XSS)
当攻击者的恶意内容通过网站直接发布给其他用户时,就会出现跨站点脚本攻击。攻击者输入的内容包括包裹在通常是文本或图像的 标签中的可执行代码。新的内容与网站内容相结合,并通过看似受信任的网站到达用户的浏览器,给用户带来重大威胁。攻击者可以通过XSS访问会话cookie、入侵个人计算机,并导致用户身份验证凭据泄漏。
不安全的反序列化
在讨论反序列化之前,我们要先了解序列化。序列化是一种将对象转换为字节流以从一个系统传输到另一个系统的方法。例如:JSON、XML或YAML文件。常见的方法是使用包含API或微服务的系统架构。 反序列化则是将信息从简单数据格式转换回二进制的过程。不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,从而损坏程序。
使用含有已知漏洞的组件
在每年被报告的数以万计的严重漏洞中,广泛使用的库占据了很高的比例。当开发人员不对库的最新状态进行跟踪,或对更新的信息或补丁程序进行例行审核时,这种过时的库可能会给您的应用程序带来安全隐患。
不足的日志记录和监视
新兴的网络攻击层出不穷,而我们对于已知问题的基本安全保障还需要增强。为了阻止黑客的攻击,我们需要使用日志记录和监视,检视任何入侵者的痕迹,并了解其攻击技术。
爱科识简便易行的操作步骤,
可为您避免以上漏洞。
70%
的公司已经制定了数字转型战略,或者正在制定的过程中,其中就包括Web应用程序。
—— Tech Pro 研究
OWASP 2017 Benchmark测试是一个开源Java测试套件,可以帮助您评估SAST工具的准确性和速度。
这个开源项目可以针对数千种漏洞进行测试,如注入、弱加密、跨站点脚本等。 测试包含具有真阳性和的代码,以提供工具之间的真实比较。
我们将爱科识与两个开源工具(Spotbugs和Sonarqube)进行了比较。 在漏洞识别率上,爱科识的性能卓越,高达95%。
爱科识的静态代码分析可帮助开发团队识别OWASP漏洞,但我们的缺陷分类并不仅限于此——通过我们专有的规则集以及CWE,爱科识可以识别更多漏洞。
欢迎获取爱科识产品演示,了解它如何修复OWASP相关缺陷。
立即获取产品演示
