OWASP十大安全趋势榜单会根据当权安全形式不时对内容进行调整,旨在更好地反映现实情况的具体变化。
而作为内容调整的核心议题,可以看到越来越多从业者意识到应用程序安全性必须立足于软件开发流程。
应用程序与API的安全威胁格局正在不断变化,促成这种演变的关键性因素则包括新型技术的快速普及(包括云计算、容器与API)、软件开发流程(如敏捷开发与DevOps)的加速与自动化、第三方库及框架的爆炸式增长外加攻击者自身的技术水平提升。这些因素的出现往往会增加分析应用程序与API的难度,同时亦给安全格局造成深远影响。
因此,OWASP十大安全趋势榜单亦需要进行持续更新。
OWASP十大安全趋势榜单变化解析-E安全
OWASP Top 10榜单根据威胁出现的频率、严重程度等进行添加、删除、以及合并
根据OWASP Top 10原作者兼Contrast Security公司创始人杰夫-威廉姆斯(Jeff Williams)所言,多年来根据威胁出现的频率、严重程度等不断对榜单中的内容进行添加、删除、合并与拆分,不过今年的榜单在内容上与2003年的版本非常相似。在2017年发布的最新版本中,具体变化列举如下:
一、重新合并:
2013-A4:不安全对象直接引用;
2013-A7:功能层级访问控制缺失。
以上二者合并为2017-A4:访问控制问题。
早在2007年,OWASP曾将访问控制问题拆分为这两项,旨在分别对应数据与功能层面的访问控制隐患。但在新版本中,二者再度被合并为一体。
二、新添加了2017-A7:攻击检测与预防不足:
多年以来,OWASP一直在考虑添加保护能力不足一项以反映现有体系在面对自动化攻击活动时的无力。基于数据收集结果,我们发现大多数应用程序及API都缺乏对手动及自动化攻击行为进行检测、预防及响应的基本功能。应用程序与API拥有者还需要有能力快速部署安全补丁,从而预防攻击活动。
三、新添加了2017-A10:未受保护的API
现代应用程序与API通常涵盖富客户端应用程序,包括浏览器中的JavaScript与移动应用等需要接入某种API(SOAP/XML、REST/JSON、RPC、GWT等)的场景。这些API通常未受保护且包含大量安全漏洞。为了确保相关企业能够注意到这一重要新兴风险,于是添加了这一项。
四、移除了2013-A10:未经验证的重定向与转发
OWASP在2010年的版本中增加了这一类别,旨在提高行业对此问题的关注。然而数据显示,这项问题并不像预期中那样普遍存在。在该问题在榜单上驻留了两个版本之后,本次将被剔除。
榜单变化的具体原因:
今年OWASP Top 10的变化,虽然“应用程序拒绝服务”与“未经验证的重新定向与转发”等问题仍然存在,但这次由于出现频率显著下降和危害及严重程度降低而被移出榜单。
攻击保护不足”被添加到第7的位置,当前排名第4的“不安全直接对象引用”和排名第7的“功能级访问控制缺失”合并之后的分类被命名为“失效的访问控制”并且排名第四,这等于说“功能级访问控制缺失”的问题越来越突出。
如下图:
OWASP十大安全趋势榜单变化解析-E安全
在杰夫看来,2017年的榜单反映了自2013年至今整个软件行业所出现的现代高速软件开发趋势。尽管仍有许多漏洞持续存在,但对于现代软件而言,API的加入与攻击保护应当被作为高优先级事务加以关注。
杰夫认为应用程序安全,必须立足于软件开发流程制定解决方案。软件开发者能够直接利用现有平台中提供的强大功能,但若不采取有效的预防措施,攻击者根据开发则的这些习惯必将找到新的突破点并加以利用。作为开发者,我们不仅需要建立防御体系,同时亦肩负着应对及阻止攻击活动的责任。对于这一切,开发者绝不能继续坐视安全漏洞肆虐。
备注:这份Top 10榜单着眼于各类高风险范畴,且具体范畴并未经过严格的无交集分类。其中部分风险范畴与攻击者相关,其它一些则可能涉及安全漏洞、防御机制或者现有资产。各类组织机构可以根据这个榜单制定更加符合实际的应对措施,从而消除此类安全隐患。
本文转自d1net(转载)
