iT邦幫忙

2025 iThome 鐵人賽

DAY 6
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 6

Day6 | OWASP Top 10(2021)與資安漏洞評分指南

  • 分享至 

  • xImage
  •  

🔟OWASP Top 10(2021版)

目前最新版, 預計2025年夏末/初秋發布OWASP Top 10:2025

項次 名稱 中文翻譯 說明
A01:2021 Broken Access Control 存取控制失敗 使用者可以存取本不該取得的資料或功能,例如未授權的 API 或管理端點。是最常見的網站漏洞之一。
A02:2021 Cryptographic Failures(原名:Sensitive Data Exposure) 加密失敗 敏感資料(如密碼、信用卡號)在傳輸或儲存時未妥善加密,導致資料外洩。
A03:2021 Injection 程式碼注入 最常見如 SQL Injection,也包含 Command Injection、LDAP Injection 等。攻擊者透過不當輸入操控後端指令。
A04:2021 Insecure Design 不安全的設計 應用程式設計時缺乏資安思維,導致系統本質就存在風險,如權限控管缺漏。
A05:2021 Security Misconfiguration 安全設定錯誤 常見如預設帳密未修改、開啟多餘功能、錯誤伺服器設定等。
A06:2021 Vulnerable and Outdated Components 使用有漏洞或過時的元件 套件或函式庫未更新,存在已知漏洞但未修補。
A07:2021 Identification and Authentication Failures(原名:Broken Authentication) 身分認證失敗 密碼管理、Session、OAuth、JWT 實作不當,可能造成冒用或繞過身份驗證。
A08:2021 Software and Data Integrity Failures 軟體與資料完整性失敗 缺乏對關鍵元件(如更新檔、CI/CD pipeline)的完整性驗證,可能導致供應鏈攻擊。
A09:2021 Security Logging and Monitoring Failures 安全日誌與監控失敗 未妥善記錄系統事件與攻擊行為,導致無法即時偵測與回應資安事件。
A10:2021 Server-Side Request Forgery (SSRF) 伺服端請求偽造 攻擊者誘使伺服器向內部資源發送請求,可用來繞過防火牆、查探內部系統。

實務建議

類型 對應防禦作法
存取控制 實作基於角色(RBAC)的授權、Zero Trust 原則
加密 使用 HTTPS、TLS 1.2+、AES-256、不可逆雜湊
程式碼注入 使用參數化查詢(如 ORM)、輸入驗證
安全設計 安全開發生命週期(SDL)、威脅建模
安全設定 定期檢查設定、自動化部署時加入資安設定腳本
套件更新 定期套件掃描、使用 SCA 工具(如 OWASP Dependency-Check)
認證管理 強密碼策略、多因素認證、Session 控管
CI/CD 安全 使用簽章驗證、限制部署權限
日誌監控 導入 SIEM 系統、設計 SOC 監控流程
SSRF 防範 限制伺服器能連的外部網域、白名單機制

其他介紹-CVE / CVSS / CWE

  • CVE:Common Vulnerabilities and Exposures(常見漏洞與風險編號)

  • CVSS:Common Vulnerability Scoring System(共通漏洞評分系統)

  • CWE:Common Weakness Enumeration(弱點種類)


上一篇
Day5 | 資安與個資標準地圖:從 ISO 到 GDPR 的實務應用全覽
下一篇
Day7 | CRR,FAR 與 FRR:資安成熟度與風險評估簡介
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言