iT邦幫忙

2022 iThome 鐵人賽

DAY 5
0
Security

資安新人30系列 第 5

資安新人30 Day05 2021 OWASP Top 10

  • 分享至 

  • xImage
  •  

今天去參加資安大會,有去聽一場演講關於OWASP Top 10 那今天就來研究這個吧/images/emoticon/emoticon07.gif

https://ithelp.ithome.com.tw/upload/images/20220920/20152636dZWBOAAHFI.png

圖片來源:OWASP Top10

2021 OWASP Top 10

https://ithelp.ithome.com.tw/upload/images/20220920/20152636iIaFkiSXE2.png

圖片來源:OWASP Top 10

A01 權限控制失效

主要會遇到權限控管問題,導致非授權資訊洩漏。

提權

  • 水平(變換成其他使用者查看其他使用者資料)
  • 垂直(一般使用者提升至管理者)

預防

建立存取控制機制

A02 加密機制失效

資料加密使用較弱的加密演算法,導致敏感性資料外洩或者系統被破壞

改善

使用較強的演算法加密

A03 注入式攻擊

常見的

  • XSS 攻擊
  • SQL Injection
  • Command Injection

預防方式

  • 使用參數化
  • 使用正規表示法(Regex)或者輸入參數限制
  • 限制系統帳號權限,以防發生問題時,獲得獲大的權限

A04 不安全設計

在設計系統及功能時,設計不完全導致產生的安全問題。

改善方式

可以思考在開發時導入SSDLC

A05 安全設定缺陷

  • 在系統正式環境開了不必要功能、服務、Port,導致有安全風險
  • XML外部實體攻擊(XXE)目前也被歸類於此類

改善

可以導入自動化部屬機制,以防在某次設定失誤,造成風險。

A06 危險或過舊的元件

在系統開發使用有已知弱點的元件(作業系統、軟體、套件、函示庫、框架)。

A07 認證及驗證機制失效

常見的可能帳號登入登出的設計機制

改善

  • 標準化的架構有協助降低次風險發生機率

A08 軟體及資料完整性失效

這是今年新加入的~~

  • 著重在軟體更新
  • 持續性整合/部署(CI/CD),未經完整性驗證,容易遭成風險。
  • 第三方套件信任問題
  • 舊的不安全的反序列化攻擊被歸納為此類

預防

  • 使用受信任的地方套件
  • 適當地設定(CI/CD)的流程組態

A09 資安記錄及監控失效

  • LOG 紀錄不足
  • 日誌檔案置入敏感資訊

改善

A10 伺服端請求偽造 (SSRF)

程式碼撰寫不注意,導致可以使用伺服器請求偽造 SSRF ,穿透內網 (Intranet) 達成攻擊

改善

切割多個子網路,降低SSRF的衝擊

參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif

後記

可以觀看我們團隊的鐵人發文喔~


上一篇
資安新人30 Day04 資產盤點與風險管理
下一篇
資安新人30 Day06 存取控制與身份認證
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
x7928311
iT邦新手 5 級 ‧ 2022-10-27 23:09:05

稍微讀了一下樓主的參考資料

關於請求偽造部分,樓主講得有點籠統,不太能理解

解決辦法從減少請求偽造,設定權限防止藉由API直搗黃龍的情形

並且加上token保護API,再來就是不過度依賴防火牆,並個別設定權限

那麼文中提到的「切割多個子網路」,是否就是在各個層級上都加上權限的意思? 

HJ iT邦新手 3 級 ‧ 2022-10-29 22:35:41 檢舉

感謝願意花時間觀看內容 /images/emoticon/emoticon25.gif

關於「切割多個子網路」,當時查看資料的想法是可以藉由網路的阻隔,限制問題的主機連線到其他重要資源的主機或者利用此風險對於內部的服務進行掃描,降低發生問題時的災害範圍。

關於這個風險 主要防護可能是針對使用者的輸入,檢查使用者的提供的輸入資料或網址是否有誤

補充 關於SSRF這個風險,覺得有興趣的例子為 有些網站提供使用者貼網址的產生網站matadata縮圖效果,如果沒有防範時,貼惡意內部網址是不是可以藉由此功能對於內部的服務進行確認或者攻擊

不知道有沒有回答到問題,如果有錯誤的地方再提出 /images/emoticon/emoticon41.gif

x7928311 iT邦新手 5 級 ‧ 2022-10-29 22:52:26 檢舉

感謝補充

「切割多個子網路」,看您的解釋上,原來是指說分成不同的分區。如果拿現實比喻,就好比「砂石車行駛路線」,因為容易造成灰塵汙染,而把車輛侷限在特定區域,才不會讓灰塵範圍擴大

而SSRF成因使用者是因為輸入保留字,試圖讓系統對這個保留字產生反應,而演變成一種風險

我要留言

立即登入留言