2017.W50 - OWASP Top 10 > 八卦 x 資安 ## 前言 ## 居然有人寄信問我可以發表文章 內容是否適合放到 NetSecurity 板上 說真的 連我這沒有技術的內容都敢連續發 50 篇 大家不用顧慮太多 不過建議如果是 *案例分析* 禮貌上需要把 IP、Domain Name、URL 這些容易判斷對方是誰的資料稍微上個馬賽克 ## 內容 ## OWASP [0] (Open Web Application Security Project) 是一個非營利組織 專著在各種網頁應用程式的安全議題 並開發各種工具、發表相關文章等 持續替安全議題作出貢獻 其中知名的則是每隔幾年會釋出的 OWASP Top 10[1] 其中會根據這段時間發生的安全事件 提出十個需要關注的安全性議題 在 2017 年版本中分別提出來以下議題： - Injection - Boken Authentication - Sensitive Data Exposure - XXE - Broken Access Control - Security Misconfiguration - XSS - Insecure Deserialization - Using Components with Known Vulnerabilities - Insufficient Logging & Monitoring 而其中的 A1 - Injection 依然是網頁應用程式的第一優先關注的議題 Injection 包含了 SQL Injection、NoSQL Injectino、Command Injection 等 藉由未經處理的使用者輸入 而執行意料以外的指令 因為是透過應用程式的權限執行 通常權限不會太低：至少跟應用程式一致 透過 Injection 後也容易可以拿到低權限的 Shell 除了上述 Top 10 之外不代表沒有其他值得注意的安全性議題 Top 10 的目的在於點出這段時間熱門的安全性議題 像是問題嚴重、開發者依然沒有意識而開發出有問題的服務 或是重要框架、函式庫含有安全性問題 導致大量相依的服務也出現一樣的漏洞 在 OWASP 的演講中有提到 Top 10 本身性質不像是證照或 QA Check List 的性質 而是開發者本身的 Newbie Guild 或基本教育訓練 藉由培養開發者本身的安全意識 在開發階段就可以避免出現常見的安全性漏洞 [0]: https://www.owasp.org/index.php/Main_Page [1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1513084424.A.D1D.html