10 lỗ hổng owasp hàng đầu năm 2022 năm 2022

Ngày 31 tháng 8 năm 20222222 Reading time: 7 mins

Bạn có thể nghe nói về Top Ten OWASP - một tài liệu lần đầu tiên được phát hành vào năm 2003 để thúc đẩy nhận thức về các rủi ro an ninh mạng nổi bật trong các ứng dụng web. Trong thế giới phần mềm ngày nay, những người ra quyết định công nghệ cần có sự hiểu biết vững chắc về những rủi ro này và các lỗ hổng liên quan để giúp đưa ra quyết định về thực tiễn bảo mật, công cụ và quy trình để giảm thiểu rủi ro cho các ứng dụng web của công ty họ. & NBSP;

Tài liệu Top Ten thực tế của OWASP chủ yếu được viết cho các nhà phát triển, điều đó có nghĩa là nó có thể nhận được rất nặng về các chi tiết kỹ thuật và làm bùn nước cho việc ra quyết định chiến lược. Blog này nhằm mục đích xem xét top 10 của OWASP tập trung vào ý nghĩa của mỗi người có nghĩa là về mặt thực tế, hậu quả kinh doanh tiềm năng và các mẹo giảm thiểu có thể hành động. & NBSP;This blog aims to review the OWASP Top 10 focusing on what each one means in practical terms, the potential business consequences, and actionable mitigation tips. 

OWASP Top Ten: Tất cả là gì về? & NBSP;

Dự án bảo mật ứng dụng web mở (OWASP) là một nền tảng phi lợi nhuận nhằm cải thiện bảo mật phần mềm bằng cách xuất bản các tiêu chuẩn, bài viết, công cụ và tài liệu của ngành. Một ví dụ về loại công cụ mà nó cung cấp là Khung đánh giá rủi ro OWASP, kết hợp các công cụ kiểm tra bảo mật và đánh giá rủi ro ứng dụng tĩnh. & NBSP;

Cứ sau ba đến bốn năm, OWASP cập nhật danh sách mười rủi ro bảo mật ứng dụng hàng đầu của mình trong bối cảnh các động lực bảo mật ứng dụng hiện hành và cảnh quan đe dọa tổng thể. Top Ten được xếp hạng theo thứ tự mức rủi ro. & NBSP; in light of prevailing application security dynamics and the overall threat landscape. The top ten are ranked in order of risk level. 

Phương pháp này sử dụng kết hợp phân tích dựa trên dữ liệu và khảo sát ngành để thiết lập danh sách mười lỗ hổng bảo mật ứng dụng quan trọng nhất:combination of data-driven analysis and industry surveys to establish a list of the ten most significant application security vulnerabilities:

• Mặt dữ liệu của những điều thu thập thông tin từ hơn 200.000 tổ chức về các lỗ hổng ứng dụng web được tìm thấy trong các quy trình khác nhau và sử dụng thông tin này để xác định tám trong số mười rủi ro bảo mật quan trọng hàng đầu. & NBSP;gathers information from over 200,000 organizations about web application vulnerabilities found in various processes and uses this information to identify eight of the top ten critical security risks. 
• Hai rủi ro còn lại được lượm lặt từ các chuyên gia khảo sát trong ngành và yêu cầu họ xếp hạng các rủi ro bảo mật ứng dụng web quan trọng nhất. and asking them to rank the most important web app security risks.

Bản cập nhật Top 10 OWASP gần đây nhất từ ​​năm 2021 mang đến năm 2022. Bản cập nhật 2021 bổ sung ba loại rủi ro mới cho bản cập nhật trước đó vào năm 2017, cùng với một số hợp nhất và đặt tên lại. & NBSP; & NBSP; & NBSP;

10 lỗ hổng hàng đầu cho 2022 & NBSP;

Bây giờ chúng ta hãy nhìn vào Top Ten hiện tại thông qua lăng kính giúp thông báo cho các quyết định an ninh và công nghệ chiến lược của bạn. & NBSP;

1. Kiểm soát truy cập bị hỏng

Kiểm soát truy cập là rất quan trọng để đảm bảo các ứng dụng chống lại việc truy cập trái phép dữ liệu và tài nguyên. Các điều khiển truy cập bị hỏng có thể dẫn đến thỏa hiệp dữ liệu, có được các quyền vượt ra ngoài những gì mà dành cho người dùng tiêu chuẩn hoặc các cuộc tấn công tiếp quản tài khoản trong đó người ngoài tấn công tài khoản người dùng và bắt đầu các giao dịch gian lận. & NBSP;

Lỗ hổng này đã tăng từ vị trí thứ 5 năm 2017 lên thứ 1 vào năm 2021, phản ánh rằng nó đã được tìm thấy trong 94% các ứng dụng được thử nghiệm. Các lỗ hổng phổ biến trong danh mục rủi ro này bao gồm các lỗi logic ứng dụng vượt qua kiểm tra kiểm soát truy cập bằng cách cho phép người dùng thay đổi giá trị tham số hoặc buộc duyệt sang một số URL nhất định. Từ góc độ ra quyết định, nó rất quan trọng để nhấn mạnh tầm quan trọng của việc thay đổi bảo mật còn lại trong chu kỳ phát triển. Các điều khiển truy cập khó thực hiện hơn sau này, vì vậy hãy truyền đạt sự quan trọng của việc thực hiện các điều khiển truy cập phù hợp, chẳng hạn như từ chối các yêu cầu theo mặc định và tỷ lệ giới hạn API sớm trong phát triển ứng dụng web. & NBSP; & NBSP; Common vulnerabilities in this risk category include application logic faults that bypass access control checks by allowing users to change parameter values or force browse to certain URLs.

From a decision-making perspective, it’s critical to emphasize the importance of shifting security left in the development cycle. Access controls are harder to implement later, so communicate the importance of implementing proper access controls, such as denying requests by default and rate limiting APIs early on in web app development.  

2. Thất bại về mật mã

Lỗi mật mã đề cập đến việc thực hiện mã hóa xấu hoặc thiếu hoàn toàn mã hóa. Hậu quả chính của sự cố mật mã là bạn có khả năng phơi bày dữ liệu nhạy cảm. Việc tiếp xúc với dữ liệu nhạy cảm có thể đặt ra các rủi ro kinh doanh, uy tín hoặc cạnh tranh tùy thuộc vào thông tin nào không được bảo vệ đầy đủ bằng mã hóa.. The major consequence of a cryptographic failure is that you can potentially expose sensitive data. The exposure of sensitive data can pose compliance, reputational, or competitive business risks depending on what information is not adequately protected by encryption.

Với chi phí vi phạm dữ liệu trung bình ở mức cao nhất mọi thời đại là 4,35 triệu đô la vào năm 2022, các doanh nghiệp có thể đủ khả năng để giảm bằng mật mã.$4.35 million in 2022, businesses can’t afford to slip up with cryptography.

Quan trọng để ngăn chặn các lỗi mật mã là phân loại dữ liệu đầu tiên mà bất kỳ ứng dụng web nào xử lý, lưu trữ hoặc truyền. Sau đó, bạn có thể xác định các tài sản dữ liệu nhạy cảm và đảm bảo chúng được mã hóa cả khi nghỉ ngơi và vận chuyển. Một giải pháp mã hóa hiện đại sử dụng các thuật toán tiêu chuẩn cập nhật và mạnh mẽ tập trung vào cấu hình khóa mã hóa và mã hóa, và quản lý vòng đời khóa mã hóa là một khoản đầu tư thận trọng. & NBSP;classifying the data that any web app processes, stores, or transmits. Then, you can identify the sensitive data assets and ensure they’re encrypted both at rest and in transit. A modern encryption solution that uses up-to-date and strong standard algorithms centralizes encryption and encryption key configuration, and manages the encryption key lifecycle is a prudent investment. 

3. tiêm

Tiêm là một loại rủi ro đề cập đến khả năng của các tác nhân đe dọa cung cấp đầu vào độc hại cho các ứng dụng web dẫn đến việc ứng dụng thực hiện các lệnh bất ngờ và không mong muốn. Tiêm xảy ra khi ứng dụng có thể phân biệt đầu vào độc hại với mã của nó. Các cuộc tấn công tiêm phổ biến bao gồm tiêm SQL chèn các truy vấn SQL độc hại vào các trường đầu vào hoặc tiêm JavaScript tải mã độc vào phía máy khách của ứng dụng web. & NBSP;. Injection occurs when the app can’t distinguish malicious input from its code. Common injection attacks include SQL injections that insert malicious SQL queries into input fields or JavaScript injections that load malicious code into the client-side of the web app. 

Các cuộc tấn công tiêm có thể dẫn đến các kết quả tiêu cực khác nhau, bao gồm từ chối dịch vụ, độ cao đặc quyền và vi phạm dữ liệu. Một yếu tố chiến lược quan trọng của giảm thiểu là khuyến khích sử dụng các công cụ giúp phát hiện các lỗ hổng tiêm trong mã. Vì có một số cuộc tấn công tiêm khác nhau, bạn có thể cần nhiều hơn một công cụ để thử nghiệm kỹ lưỡng. & NBSP;

4. Thiết kế không an toàn

Đây là một danh mục hoàn toàn mới cho Top Ten OWASP, tập trung rộng rãi vào thiết kế ứng dụng và lỗ hổng kiến ​​trúc dẫn đến tăng rủi ro bảo mật. Khi một ứng dụng vốn được thiết kế theo cách không an toàn, ngay cả việc thực hiện hoàn hảo các điều khiển bảo mật và rủi ro cũng có thể bù đắp cho những điểm yếu thiết kế đó. Các tác nhân đe dọa tinh vi cuối cùng sẽ tìm thấy và khai thác các lỗ hổng thiết kế. & NBSP;focusing broadly on application design and architectural flaws that lead to increased security risks. When an application is inherently designed in an insecure way, even a perfect implementation of security controls and risks can’t compensate for those design weaknesses. Sophisticated threat actors will eventually find and exploit design flaws. 

Ở cấp độ cao, một trong những mẹo giảm thiểu quan trọng nhất là bắt buộc sử dụng mô hình hóa mối đe dọa cho các nhóm phát triển phần mềm. Mô hình hóa mối đe dọa nên sử dụng cấu trúc và luồng dữ liệu vốn có cho một ứng dụng web cụ thể để tìm ra các mối đe dọa kỹ thuật chính có thể khai thác hệ thống. Để tìm ra các mối đe dọa, hãy cố gắng trả lời câu hỏi, thì điều gì có thể sai ở đây? Mô hình sải chân là một nơi tốt để động não vì nó tập trung vào các loại mối đe dọa và kiểm soát bảo mật ứng dụng quan trọng để ngăn chặn chúng. & NBSP;mandate the use of threat modeling for software development teams. Threat modeling should use the structure and data flow inherent to a specific web app to trace out the key technical threats that could exploit the system.

To trace out the threats, try to answer the question, “what can go wrong here?” The STRIDE model is a good place to brainstorm because it focuses on important types of application security threats and controls for preventing them. 

5. Cấu hình sai

Danh mục rủi ro này liên quan đến các thành phần bảo mật trong một ứng dụng được cấu hình không chính xác. Các cấu hình sai ngày càng phổ biến do đám mây được sử dụng làm môi trường phát triển và các ứng dụng web được xây dựng bằng hình ảnh container. Độ phức tạp của cơ sở hạ tầng có thể xảy ra nhiều điểm hơn mà tại đó các cấu hình sai bảo mật có thể xảy ra. Trong dữ liệu được thu thập bởi OWASP hiện tại Top Ten, đã có hơn 200.000 trường hợp được phát hiện về cấu hình bảo mật trong các ứng dụng web. Thách thức với việc giảm thiểu rủi ro cấu hình sai bảo mật từ quan điểm chiến lược là chúng bao gồm toàn bộ ngăn xếp ứng dụng và cơ sở hạ tầng ứng dụng. Các lỗi riêng lẻ thường được chơi ở đây, chẳng hạn như mở các cổng không cần thiết, không thay đổi mật khẩu mặc định hoặc để các thùng lưu trữ đám mây mở. Một thay đổi chiến lược quan trọng là đảm bảo bạn có một quy trình lặp lại để các cấu hình cứng và một công cụ hoặc quy trình tự động kiểm toán và xác minh các cấu hình đó trên các môi trường tại chỗ và đám mây. & NBSP;Misconfigurations are increasingly common due to the cloud being used as a development environment and web apps being built with container images. The infrastructural complexity adds more points at which security misconfigurations can occur.

In the data gathered by OWASP current the Top Ten, there were over 200,000 detected instances of security misconfigurations in web apps. The challenge with mitigating security misconfiguration risks from a strategic standpoint is that they cover the whole application stack and the app’s infrastructure. Individual errors are often at play here, such as opening unnecessary ports, not changing default passwords, or leaving cloud storage buckets open.

A pivotal strategic change is to ensure you have a repeatable process for hardening configurations and a tool or process that automatically audits and verifies those configurations across on-premise and cloud environments. 

6. Các thành phần dễ bị tổn thương và lỗi thời

Các ứng dụng web bao gồm nhiều thành phần hoặc khối xây dựng từ các nguồn bên ngoài (thư viện, khung, v.v.). Các thành phần này xử lý cả chức năng back-end và front-end. Khi các tác nhân đe dọa cố gắng thỏa hiệp một ứng dụng, họ nhìn vào các bộ phận cấu thành của nó và cố gắng khai thác bất kỳ lỗ hổng nào. Thông thường, các lỗ hổng này đến từ việc sử dụng các khung hoặc thư viện lỗi thời dễ khai thác. & NBSP;components or building blocks from external sources (libraries, frameworks, etc.). These components handle both back-end and front-end functionality. When threat actors try to compromise an application, they look at its component parts and attempt to exploit any vulnerabilities. Often, these vulnerabilities come from using out-of-date frameworks or libraries that are easy to exploit. 

Giảm thiểu chiến lược tổng thể ở đây là đảm bảo một chiến lược quản lý bản vá hiệu quả được đưa ra. Một phần của chiến lược đó đòi hỏi phải duy trì hàng tồn kho của tất cả các thành phần trong các ứng dụng của bạn và các phiên bản tương ứng của các thành phần đó mà ứng dụng đang chạy. Lý tưởng nhất, bạn sẽ có thể tự động hóa bước kiểm kê bằng giải pháp kiểm kê kỹ thuật số. & NBSP;ensure an effective patch management strategy is in place. Part of that strategy entails maintaining an inventory of all the components in your apps and the respective versions of those components the app is running. Ideally, you’ll be able to automate the inventory step with a digital inventory solution. 

7. Lỗi xác định và xác thực

Thất bại trong xác thực và quản lý danh tính làm cho các ứng dụng dễ bị đe dọa các diễn viên giả mạo thành người dùng hợp pháp. Một số ví dụ về các lỗ hổng bao gồm không thiết lập các khoảng thời gian hợp lệ cho ID phiên, cho phép mật khẩu yếu dễ đoán và không giới hạn tỷ lệ các nỗ lực đăng nhập chống lại các cuộc tấn công tự động.. Some examples of vulnerabilities include not setting validity periods for session IDs, permitting weak passwords that are easy to guess, and not rate limiting login attempts against automated attacks.

Các giải pháp bao gồm thực hiện xác thực đa yếu tố trong các ứng dụng và truyền đạt tầm quan trọng của việc tuân thủ độ dài mật khẩu, độ phức tạp và chính sách xoay được đề xuất cho các nhà phát triển. & NBSP; & NBSP;implementing multi-factor authentication in apps and communicating the importance of complying with recommended password length, complexity, and rotation policies to developers.  

8. Thất bại toàn vẹn phần mềm và dữ liệu

Đây là một danh mục rủi ro mới khác trong Top Ten của OWASP và tất cả về việc đưa ra các giả định mặc định bị lỗi trong các đường ống phát triển về tính toàn vẹn của phần mềm hoặc dữ liệu. Vì các ứng dụng web thường xuyên dựa vào các plugin và thư viện từ các nguồn bên ngoài, việc thiếu xác minh tính toàn vẹn của các nguồn này sẽ đưa ra nguy cơ mã độc, truy cập trái phép và thỏa hiệp.making faulty default assumptions within development pipelines about the integrity of software or data. Since web apps regularly rely on plugins and libraries from external sources, a lack of verification of the integrity of these sources introduces the risk of malicious code, unauthorized access, and compromise.

Chiến lược giảm thiểu chính là đảm bảo mã bên ngoài hoặc dữ liệu đã bị giả mạo bằng cách yêu cầu chữ ký số. & NBSP;ensuring external code or data hasn’t been tampered with by requiring digital signatures. 

9. Lỗi ghi nhật ký và giám sát bảo mật

Ghi nhật ký và giám sát trợ giúp để cung cấp trách nhiệm bảo mật, khả năng hiển thị vào các sự kiện, cảnh báo sự cố và pháp y. Khi có những thất bại trong các khả năng này, khả năng phát hiện và ứng phó với các vi phạm ứng dụng của bạn trở nên bị tổn hại nghiêm trọng. Để giảm thiểu, sử dụng các công cụ nguồn mở hoặc độc quyền để tương quan nhật ký, thực hiện giám sát và cảnh báo và tạo chiến lược phản hồi và phục hồi sự cố bằng cách sử dụng các hướng dẫn đã được thiết lập, chẳng hạn như NIST 800-61R2. & NBSP;. When there are failures in these capabilities, your company’s ability to detect and respond to application breaches becomes severely compromised. To mitigate, use open source or proprietary tools to correlate logs, implement monitoring and alerting, and create an incident recovery and response strategy using established guidelines, such as NIST 800-61r2. 

10. Việc giả mạo yêu cầu phía máy chủ (SSRF) & NBSP;

SSRF là một trong hai rủi ro hàng đầu của OWASP được thêm vào dựa trên khảo sát cộng đồng thay vì dữ liệu từ các ứng dụng web. Hầu hết các ứng dụng web ngày nay yêu cầu các tài nguyên bên ngoài cho chức năng của chúng, thường được truy cập tại URL. SSRF xảy ra khi tin tặc có thể nhận máy chủ để thực hiện các yêu cầu mà họ kiểm soát. Lỗ hổng điển hình là ứng dụng web không xác nhận URL do người dùng cung cấp, có khả năng cho phép truy cập vào các dịch vụ hoặc tài nguyên nội bộ bằng cách bỏ qua các điều khiển truy cập. Khái niệm chiến lược về bảo vệ theo chiều sâu ở đây là rất quan trọng; Nhiều điều khiển tại các lớp ứng dụng và mạng có thể giúp ngăn chặn SSRF. Dữ liệu đầu vào do khách hàng cung cấp nên được xác thực và vệ sinh, trong khi phân đoạn mạng cũng có thể giúp. & NBSP;. Most web apps today require external resources for their functionality, which are usually accessed at URLs. SSRF occurs when hackers can get servers to make requests that they control. The typical vulnerability is that the web application doesn’t validate the user-supplied URL, potentially allowing access to internal services or resources by bypassing access controls.

The strategic concept of defense in depth is important here; multiple controls at the application and network layers can help to prevent SSRF. Client-supplied input data should be validated and sanitized, while network segmentation can also help. 

Giữ bình tĩnh nhưng hãy nhớ nhìn theo mọi hướng

Mặc dù Top Ten là một tài liệu hữu ích để cải thiện bảo mật ứng dụng web, nhưng nó không phải là tất cả và cuối cùng. Có một sự tập trung mạnh mẽ vào việc đảm bảo phía máy chủ, nhưng nhiều cuộc tấn công ngày nay tập trung vào phía máy khách. Nói cách khác, điều quan trọng là nhìn theo mọi hướng. & NBSP;

Một điểm mù cụ thể là các tập lệnh của bên thứ ba thường chạy trên các trang web và ứng dụng web. Những tập lệnh có khả năng bị xâm phạm bỏ qua các công cụ bảo mật. Hệ sinh thái kỹ thuật số hiện đại phức tạp yêu cầu bạn quản lý hàng tồn kho ngày càng tăng của các ứng dụng và kịch bản của bên thứ ba. & NBSP;third-party apps and scripts. 

Reflectiz cung cấp một danh sách đầy đủ của tất cả các ứng dụng của bên thứ ba và thứ tư đang chạy trên trang web của bạn, bao gồm các tập lệnh, địa lý và các mối quan hệ của họ. Nền tảng cũng cung cấp cho bạn dữ liệu về các vấn đề và lỗ hổng tuân thủ tiềm năng mà bạn có thể khắc phục trước khi nó quá muộn. Tham gia Phản ánh phiên bản miễn phí ngay hôm nay. & NBSP;remediate before it’s too late. Join Reflectiz FREE version today.