今天去參加資安大會，有去聽一場演講關於OWASP Top 10 那今天就來研究這個吧

圖片來源：OWASP Top10

2021 OWASP Top 10

圖片來源：OWASP Top 10

A01 權限控制失效

主要會遇到權限控管問題，導致非授權資訊洩漏。

提權

• 水平(變換成其他使用者查看其他使用者資料)
• 垂直(一般使用者提升至管理者)

預防

建立存取控制機制

A02 加密機制失效

資料加密使用較弱的加密演算法，導致敏感性資料外洩或者系統被破壞

改善

使用較強的演算法加密

A03 注入式攻擊

常見的

• XSS 攻擊
• SQL Injection
• Command Injection

預防方式

• 使用參數化
• 使用正規表示法(Regex)或者輸入參數限制
• 限制系統帳號權限，以防發生問題時，獲得獲大的權限

A04 不安全設計

在設計系統及功能時，設計不完全導致產生的安全問題。

改善方式

可以思考在開發時導入SSDLC

A05 安全設定缺陷

• 在系統正式環境開了不必要功能、服務、Port，導致有安全風險
• XML外部實體攻擊(XXE)目前也被歸類於此類

改善

可以導入自動化部屬機制，以防在某次設定失誤，造成風險。

A06 危險或過舊的元件

在系統開發使用有已知弱點的元件(作業系統、軟體、套件、函示庫、框架)。

A07 認證及驗證機制失效

常見的可能帳號登入登出的設計機制

改善

• 標準化的架構有協助降低次風險發生機率

A08 軟體及資料完整性失效

這是今年新加入的~~

• 著重在軟體更新
• 持續性整合/部署(CI/CD)，未經完整性驗證，容易遭成風險。
• 第三方套件信任問題
• 舊的不安全的反序列化攻擊被歸納為此類

預防

• 使用受信任的地方套件
• 適當地設定(CI/CD)的流程組態

A09 資安記錄及監控失效

• LOG 紀錄不足
• 日誌檔案置入敏感資訊

改善

• 加強LOG 紀錄
• 導入資通安全威脅偵測管理(SOC)服務

A10 伺服端請求偽造 (SSRF)

程式碼撰寫不注意，導致可以使用伺服器請求偽造 SSRF ，穿透內網 (Intranet) 達成攻擊

改善

切割多個子網路，降低SSRF的衝擊

參考資料

• owasp Top10
• 以資安治理角度理解 OWASP Top 10 2021
• 認識注入攻擊（ Injection Attack）
• 網站安全? 伺服器端請求偽造 SSRF 攻擊

如果有任何錯誤的地方歡迎提出。

後記

可以觀看我們團隊的鐵人發文喔~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga