[原创]解读2017 OWASP Top10漏洞体系(含接口安全)

2017年4月初,OWASP发布了关于Top10的征求意见版。 争议最大的是A7攻击检测与防范不足。 但我主要是按照日常的渗透漏洞进行解读分析的。

解读完毕后,首发t00ls原创文章。

https://www.t00ls.net/viewthread.php?from=notice&tid=39385

0x00 Top 10

OWASP Top10漏洞体系长期以来作为Web攻防白帽子既基础又核心的一个标准。漏洞标准变化如下:

变化内容:

  1. 合并了2013-A4“不安全的直接对象引用”和2013-A7“功能级访问控制功能缺失”到2017-A4“无效的访问控制”。
  2. 增加了2017-A7:攻击检测与防范不足
  3. 增加了 2017-A10: 未受保护的API
  4. 去掉了: 2013-A10:未验证的重定向和转发
  5. 根据增删内容,标准中多次提到了API安全的关键字
  6. 根据解说内容,标准逐渐向抽象性漏洞过渡和延伸,包括登录体系、会话权限等系列的逻辑漏洞

0x02 漏洞关联

官方提到 T10围绕主要风险区域进行整理,而不是密封,不重叠或严格的分类。 其中一些是围绕着攻击者整理的,一些是脆弱性,一些是防御,一些是资产。 组织应考虑制定措施,以消除这些问题。Top10 与日常渗透的实际的漏洞点结合起来,关联如下:

当然硬性的把某个漏洞直接归类到An类型,也不是很友好,比如上传漏洞归到A4 – 失效的访问控制略显牵强,因为从数据包上面理解更像是注入,但文件包含、任意下载删除这基本和权限是有关的,所以暂时把文件操作类漏洞归纳为A4。虽然硬性归纳和漏洞堆叠 部分略显牵强,但这种类型的关联能够体现线性拓展以便进一步建模分析,用以滚雪球式充当产品漏报和误报的理论基础。

0x02 接口安全

本次更新,API关键字上镜率特别高,SO尝试单独对接口安全进行汇总分析。 科普到关于API的定义和范围,简单理解就是接口,连接两部分代码的粘合剂。我们可以在APIStore搜索到关于N多产品分类的接口,但这些API对于已有漏洞挖掘经验来分析,规律统一,所以我们按照日常漏洞挖掘的思维去分类,如下:

回想Web安全漏洞挖掘主要集结在输入输出、登录体系、会话权限三大类(包含了常见的WEB漏洞以及逻辑漏洞),当然依据目前移动互联网的趋势还有多种文件及数据类型XML JSON RPC GWT 的接口,所以有必要针对接口安全进行细分及挖掘。渗透过程中经常会遇到手机APP、小程序、微信公众号类等,好多都是基于WebService,所以仍然可以找到类似Web一样的服务端漏洞。

Tips:对APP进行反编译,在内部根据域名和IP进行正则匹配,往往也是个薄弱出发点。

我们再回看一个关于支付接口的漏洞分类,以便进一步佐证接口安全在渗透的地位。当然如果考虑防御的话,更多考虑的是机制是协同。

另外关于接口数据的关联整合,这个一直想表达的,但碍于案例,目前尚未发布。举例说明通过登录接口部分不健全机制,可以获得用户名对应的隐藏几位的手机号,根据手机号可获得用户名。还可以根据用户名能够对应论坛的个人属性。这样经过大量数据爬虫后,可以对应“用户名---手机号---个人属性”的关联信息。这部分可能在房产、金融等领域会有突出的效果。

0x03 信息参考

OWASP Top 10 - 2017 RC1-English.pdf

OWASP Top 10 - 2017 RC1-chinese.pdf (DSRC翻译)

OWASP top10 全局关联图个人归纳总结

链接:http://pan.baidu.com/s/1nuCOMmd 密码:hrup

时间: 2024-10-23 15:07:43

[原创]解读2017 OWASP Top10漏洞体系(含接口安全)的相关文章

平安亮相2017 OWASP亚洲峰会 首推金融安全专家服务

2017年7月8日,OWASP亚洲峰会在深圳隆重举行,2017年是我国<网络安全法>正式实施的第一年和<网络空间安全战略>发布的第一年.本次峰会以"安全有序,携手共建网络地球村"为主题,邀请国内外众多顶级安全领导者与资深安全专家就"共同建设并维护网络空间的公平与正义.保障各类信息的可信与安全.共同分享全球信息革命的机遇和成果"进行深度讨论,分享前沿信息安全技术与方法,发布最新信息安全洞察与政策,传递正面信息安全知识与力量. 中国平安是唯一参会

解读IEEE 7417的软件体系架构描述的概念模型

本文将解读标准IEEE Std 1471-2000(密集型软件的体系结构描述推荐实施规程)的概念模型图部分,从中一窥作为软件架构师的进行架构设计的思考角度与策略.如果我们把世界当做一场游戏,现在要玩的就是策略游戏而已. 说明: IEEE 1471是适用于软件密集的系统,其目标在于:便于体系结构的表达与交流,并通过体系结构要素及其实践标准化,奠定质量与成本的基础. 细读这个标准,可以加强策略游戏的装备,全新上战场. 基本概念 IT框架的设计者必须是杰出的问题驱动者,设计往往是一个模糊的,非理性的过

OWASP top10

PhishTank 是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁. 1.XSS 1.1. XSS简介 跨站脚本攻击,英文全称是Cross Site Script,本来缩写是CSS,但是为了和层叠样式表有所区分,所以在安全领域叫做"XSS". XSS攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击. 1.2. XSS分类 XSS根据效果的不同可以分成如下几类 第

各地都在搞大数据,你的家乡有啥特色没——解读2017年地方政府大数据报告

文 | 帆软数据应用研究院 水手哥 日前,数据中心联盟大数据发展促进委员会发布了<我国地方政府大数据发展规划分析报告>,聚焦各省市大数据发展举措,对37个省市的大数据文件展开了整理,从目标定位.基础能力.应用.产业.安全保障等规划进行了总结分析,可以帮助大家比较全面的了解地方大数据发展政策. 一.不同的特色 整体来看,各地政府依据自身实际情况,形成了以下三种发展规划: 1.引领型.以北京.广东.江苏为代表,这三地凭借强大的经济.科技与人力资源实力,在关键技术.先进产品.产业生态体系构建方面,制

(原创)浅谈任意文件下载漏洞的利用

文章写的一般,如果有错误的地方,请指教~ 0x01 任意文件下载常见利用方式 0x02 信息收集部分 0x03 代码审计部分 0x04 总结 0x01 前言 在web语言中,php和java常常会产生任意文件下载漏洞,由于渗透测试的需要,常常需要进一步getshell,笔者对常见的任意文件下载漏洞常见的getshell方式进行总结.欢迎指出不足和错误之处 0x02 利用方式介绍 信息收集信息>猜路径 >>下载配置文件/代码文件 >> 利用服务器软件漏洞> shell&g

2017 OWASP TOP 10

http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf Ref:http://www.owasp.org.cn/owasp-project 原文地址:https://www.cnblogs.com/ncore/p/10350695.html

Spring源码分析——BeanFactory体系之接口详细分析

Spring的BeanFactory的继承体系堪称经典.这是众所周知的!作为Java程序员,不能错过! 前面的博文分析了Spring的Resource资源类Resouce.今天开始分析Spring的IOC部分.众所周知,IOC是Spring框架最迷人的地方.它最重要的接口,就是BeanFactory了.BeanFactory有着庞大的继承.实现体系,有众多的子接口.实现类.本博文的目标就是抽丝剥茧,从源代码入手,分析Spring的实现和架构,从中进步. 在阅读的过程中,可以参照Spring文档来

[原创]java WEB学习笔记06:ServletContext接口

本博客为原创:综合 尚硅谷(http://www.atguigu.com)的系统教程(深表感谢)和 网络上的现有资源(博客,文档,图书等),资源的出处我会标明 本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用 内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱好者,互联网技术发烧友 微博:伊直都在0221 QQ:951226918 ---------------------------------

JMeter深入进阶性能测试体系,接口性能测试,各领域企业实战

jmeter是apache公司基于java开发的一款开源压力测试工具,体积小,功能全,使用方便,是一个比较轻量级的测试工具,使用起来非常简单.因为jmeter是java开发的,所以运行的时候必须先要安装jdk才可以.jmeter是免安装的,拿到安装包之后直接解压就可以使用,同时它在linux/windows/macos上都可以使用. ??jmeter可以做接口测试和压力测试.其中接口测试的简单操作包括做http脚本(发get/post请求.加cookie.加header.加权限认证.上传文件).