浅谈OWASP TOP10

一个可以快速且易于部署在另一个锁定环境的可重复的加固过程。开发、质量保证和生产环境都应该进行相同配置，并且，在每个环境中使用不同的密码。这个过程应该是自动化的，以尽量减少安装一个新安全环境的耗费。

搭建最小化平台，该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。

检查和修复安全配置项来适应最新的安全说明、更新和补丁，并将其作为更新管理过程的一部分。

一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构，包括：分段、容器化和云安全组。

向客户端发送安全指令，如：安全标头。

在所有环境中能够进行正确安全配置和设置的自动化过程。

7. 跨站脚本(XSS)

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建HTML或JavaScript的浏览器API更新现有的网页时，就会出现XSS缺陷。XSS让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

如何防止：

使用设计上就会自动编码来解决XSS问题的框架，如：Ruby3.0或ReactJS。了解每个框架的XSS保护的局限性，并适当地处理未覆盖的用例。

为了避免反射式或存储式的XSS漏洞，最好的办法是根据HTML输出的上下文(包括：主体、属性、JavaScript、CSS或URL)对所有不可信的HTTP请求数据进行恰当的转义。

在客户端修改浏览器文档时，为了避免DOMXSS攻击，最好的选择是实施上下文敏感数据编码。

使用内容安全策略(CSP)是对抗XSS的深度防御策略。如果不存在可以通过本地文件放置恶意代码的其他漏洞(例如：路径遍历覆盖和允许在网络中传输的易受攻击的库)，则该策略是有效的。

8. 不安全的反序列化

不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来执行攻击，包括：重播攻击、注入攻击和特权升级攻击。

如何防止：

执行完整性检查，如：任何序列化对象的数字签名，以防止恶意对象创建或数据篡改。

在创建对象之前强制执行严格的类型约束，因为代码通常被期望成一组可定义的类。绕过这种技术的方法已经被证明，所以完全依赖于它是不可取的。

如果可能，隔离运行那些在低特权环境中反序列化的代码。

记录反序列化的例外情况和失败信息，如：传入的类型不是预期的类型，或者反序列处理引发的例外情况。

限制或监视来自于容器或服务器传入和传出的反序列化网络连接。

监控反序列化，当用户持续进行反序列化时，对用户进行警告。

9. 使用含已知漏洞的组件

组件(例如：库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

如何防止：

移除不使用的依赖、不需要的功能、组件、文件和文档。

利用如versions、DependencyCheck、retire.js等工具来持续的记录客户端和服务器端以及它们的依赖库的版本信息。持续监控如CVE和NVD等是否发布已使用组件的漏洞信息，可以使用软件分析工具来自动完成此功能。订阅关于使用组件安全漏洞的警告邮件。

仅从官方渠道安全的获取组件，并使用签名机制来降低组件被篡改或加入恶意漏洞的风险。

监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁，可以考虑部署虚拟补丁来监控、检测或保护。

10. 不足的日志记录和监控

不足的日志记录和监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过200天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。

如何防止：

确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去，并保留足够的用户上下文信息，以识别可疑或恶意帐户，并为后期取证预留足够时间。

确保日志以一种能被集中日志管理解决方案使用的形式生成。

确保高额交易有完整性控制的审计信息，以防止篡改或删除，例如审计信息保存在只能进行记录增加的数据库表中。

（编辑：鹰潭站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!