OWASP 2021 Quick View

OWASP 2021 引入了 3 個新類別 :  

A08:2021 - 不安全設計 (No.4 )

A08:2021 - 軟件和數據完整性失敗 ( No.8 )

A10:2021 - 服務器端請求偽造 (No.10)

A01:2021 - 損壞的訪問控制 (Broken Access Control)

OWASP 團隊將一個 Broken Access Control漏洞列為第 1 位，從 2017 年 OWASP TOP 10 榜單的第 5 位移至第 1 位。為了分配這個位置，OWASP 團隊已經測試了 94% 的應用程序，並使用了一些軟身份驗證，並在其中映射了 34 個 CWE。

A02:2021-加密失敗 (Cryptographic Failures)

Cryptographic Failures 已被分配到第 2 位，它已從 2017 年列表中的第 3 位移至 “敏感數據暴露” Sensitive Data Exposure，並已根據攻擊的樣貌進行分配。由於當前更新的列表側重於根因，因此密碼學加密失敗是洩露敏感數據的主要問題。

A03:2021 - 注入攻擊 (Injection)

注入攻擊從 2017 年列表中的第 1 位下降到 OWASP TOP 10 2021 中的第 3 位。在此註入攻擊類別下，映射了 33 個 CWE，包括在上一個列表中排名第 7 的跨站點腳本 (XSS) 漏洞。

A04:2021 - 不安全的設計 (Insecure Design)

不安全設計是 OWASP TOP 10 2021 列表中添加的一個新類別，並列在第 4 位。不安全的設計漏洞側重於與設計缺陷相關的風險。

A05:2021 - 安全配置錯誤 (Security Misconfiguration)

安全配置從第 6 位移至第 5 位，該漏洞已在 90% 的應用程序上進行了測試。OWASP 團隊從 2017 年列表中分隔了 XML 外部實體，並將它們與此安全配置錯誤合併。

A06:2021 - 易受攻擊和過時的組件 (Vulnerable and Outdated Components)

這是“使用具有已知漏洞的組件” 的替代標題，已在 2017 年列表中排名第 9 位。現在它向上移動到 第6 位。這是唯一沒有將任何 CVE 映射到包含的 CWE 的類別，而是考慮了 5.0 的預設漏洞利用和影響權重來反映此位置。

A07:2021 - 識別和認證失敗 (Identification and Authentication Failures)

它以前被稱為“損壞的身份驗證” Broken Authentication，它列在第2位並移到第7位。這個類別仍然是前 10 名的一個組成部分，但標準化框架的可用性增加似乎有所幫助。

A08:2021 - 軟體和數據完整性故障 (Software and Data Integrity Failures)

軟體和數據完整性故障是 OWASP Top 10 2021 列表中的一個新列表，該漏洞主要針對軟件更新、關鍵數據和 CI/CD 管道，而無需驗證完整性。合併自2017 年不安全的反序列化( Insecure Deserialization)。

A09:2021 -安全日誌記錄和監控失敗 (Security Logging and Monitoring Failures)

它以前被稱為監控和監控不足，它被列在第 10 位並上升到第 9 位。未能修復此漏洞將影響可見性、事件警報和取證。

A10:2021 - 服務器端請求偽造 (Server-Side Request Forgery)

業界調查顯示SSRF 名列第 10 位。數據顯示發生率相對較低，測試覆蓋率高於平均水平，並且利用和影響潛力的評級高於平均水平。

Cheers !

The Top 10 OWASP vulnerabilities in 2020

 

• Injection
• Broken Authentication
• Sensitive Data Exposure
• XML External Entities (XXE)
• Broken Access control
• Security misconfigurations
• Cross Site Scripting (XSS)
• Insecure Deserialization
• Using Components with known vulnerabilities
• Insufficient logging and monitoring

API 安全考量 ( API Security)

近年來API平台不可避免的吸引更多的攻擊者。只要API平台使用資訊技術，就會有惡意攻擊者試圖找到這些漏洞進行攻擊。API安全大致可以分成兩類，第一類是API濫用，第二類是API攻擊。所謂的API濫用指的就是，使用者（或App）可以去呼叫API大量取得資料。而API攻擊就是注入像是SQL Injection的攻擊語法去攻擊API伺服器，藉此取得相關的主機權限。

以 OWASP API Security Top 10 2019 (註一) 的分類來說，常見的 API 風險有三大項，按照發生頻率來排序，依序是「A2：無效認證與授權」（Broken Authentication）、「A1：無效的對象層級授權」（Broken Object Level Authorization）、「A4：缺乏與存取速率的不足」（Lack of Resource and Rate Limiting），及「A10：記錄和監控機制不足」(Insufficient Logging & Monitoring)
* 註一 : https://owasp.org/www-project-api-security/



以下針對這四類弱點進行介紹：

1. 「A2：無效認證與授權」（Broken Authentication）： 意指API平台未做好身份認證管理，導致攻擊者可以輕易登入系統，有機會暫時或永久取得使用者 ID，類似預設密碼、弱密碼概念，在未經授權下進入後台服務，擅自修改平台參數、進行不當操作、建立 Botnet 中繼站等。

2. 「A1：無效的對象層級授權」（Broken Object Level Authorization）：意指攻擊者利用後臺權限控管的漏洞能輕易轉換權限，初次通過身份驗證後，不需經過再次驗證即可調用其他使用者的資料。擅自修改為 001、002、003…等等用戶編號，佯裝為不同身份，恣意存取各個使用者的機敏資料。有些案例甚至可以做到「垂直提權」取得管理者身分，造成重大危害。

3. 「A4：缺乏與存取速率的不足」（Lack of Resource and Rate Limiting）： 意指 API平台對使用者請求的資源數量、請求次數多寡未施加任何限制，可能導致 API 發佈過多封包、變相釀成 DDoS 攻擊，造成服務停擺。

4. 「A10：記錄和監控機制不足」(Insufficient Logging & Monitoring)：當API平台遇到攻擊行為的時候，能否偵測並且有效應對，例如，當發現外部有人正在掃描攻擊時，使用者是否可以針對這些攻擊「感知」並且做到「阻擋」。此外使用記錄可以作為行為模式分析之用，以作為持續精進防護原則依據。

## API防禦措施：

1. 以 TLS (Transport Layer Security) 為基礎
* 傳輸層安全性協定 (TLS) 會將流量加密，以確保用戶與正確的伺服器通訊，是 API 的安全性基礎。所有 API 都應該以 TLS 為基礎。
* 隨時更新 TLS：利用像是 Qualisys SSL Labs 的 SSL Server Test 服務測試 TLS 的配置。(註二：https://www.ssllabs.com/ssltest/)
* 利用追蹤工具、資料遮罩和標記化 (tokenization) 等技術。

2. 加強身份驗證機制
* 使用者與應用程式都需要被驗證身份。
* 控制 API 存取權限是有效確保 API 安全的基礎，API平台應該使用 OAuth 對使用者進行身份驗證。

3. API服務上使用速率限制來防止暴力攻擊，並且管理流量
* 使用速率限制防止暴力攻擊，舉例來說：一個攻擊者可能會利用自動化軟體猜測密碼，造成大量連續登入嘗試。API查詢若不受速率限制，則會無限制地允許此攻擊，直到攻擊成功為止。

4. 使用行為模式 (Behavioral Patterns) 和機器學習阻檔意圖不良的機器人程式
* 監控 API 的存取模式與流量的狀況，才能發現可疑的行為。
* 利用使用記錄進行演算法和機器學習以發現意圖不良的機器人程式。
* 留意有些適用於阻止網路或 Web 攻擊的方法可能不適用於 API。

5. 透過弱點掃瞄、滲透測試、原碼檢測，甚至資安流程監控等服務。



## 運用機器學習分析API使用異常：

在營運API平台時，當有使用異常時，要能即時通知管理者，一般需要建立API即時異常檢測系統。該系統將歷史資料進行分析，分析方法運用機器學習(Machine Learning)演算法，進行資料探勘(Data Mining)，對歷史資料進行「行為塑模」(Behavior Modeling)。


在完成「行為塑模」後，可以對即時資料進行檢測(Detect Anomalies)，針對異常行為發生時，能及時發出告警或是在應用程式中顯示出來。

駭客專家以駭客的角度，協助分析 使用異常情境，並在塑模階段與檢測特徵中提出建議。

## 營運介面參考