2017.W50 - OWASP Top 10
> 八卦 x 资安
## 前言 ##
居然有人寄信问我可以发表文章 内容是否适合放到 NetSecurity 板上
说真的 连我这没有技术的内容都敢连续发 50 篇 大家不用顾虑太多
不过建议如果是 *案例分析* 礼貌上需要把 IP、Domain Name、URL
这些容易判断对方是谁的资料稍微上个马赛克
## 内容 ##
OWASP [0] (Open Web Application Security Project) 是一个非营利组织
专著在各种网页应用程式的安全议题 并开发各种工具、发表相关文章等
持续替安全议题作出贡献
其中知名的则是每隔几年会释出的 OWASP Top 10[1]
其中会根据这段时间发生的安全事件 提出十个需要关注的安全性议题
在 2017 年版本中分别提出来以下议题:
- Injection
- Boken Authentication
- Sensitive Data Exposure
- XXE
- Broken Access Control
- Security Misconfiguration
- XSS
- Insecure Deserialization
- Using Components with Known Vulnerabilities
- Insufficient Logging & Monitoring
而其中的 A1 - Injection 依然是网页应用程式的第一优先关注的议题
Injection 包含了 SQL Injection、NoSQL Injectino、Command Injection 等
借由未经处理的使用者输入 而执行意料以外的指令
因为是透过应用程式的权限执行 通常权限不会太低:至少跟应用程式一致
透过 Injection 后也容易可以拿到低权限的 Shell
除了上述 Top 10 之外不代表没有其他值得注意的安全性议题
Top 10 的目的在于点出这段时间热门的安全性议题
像是问题严重、开发者依然没有意识而开发出有问题的服务
或是重要框架、函式库含有安全性问题 导致大量相依的服务也出现一样的漏洞
在 OWASP 的演讲中有提到 Top 10 本身性质不像是证照或 QA Check List 的性质
而是开发者本身的 Newbie Guild 或基本教育训练
借由培养开发者本身的安全意识 在开发阶段就可以避免出现常见的安全性漏洞
[0]: https://www.owasp.org/index.php/Main_Page
[1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf