OWASP的2021名单洗牌:一个新的作战计划和主要敌人
代码注入攻击是臭名昭著的漏洞之王,在最坏的情况下,由于访问控制被破坏,代码注入攻击失去了最重要的位置,开发人员需要引起注意。
在这个越来越混乱的世界里,总是有一些人们可以信赖的常数:太阳早上升起,晚上又落下,马里奥总是比刺猬索尼克凉爽,在开放式Web应用程序安全项目(Open Web Application Security Project,OWASP)中,代码注入攻击总是占据攻击者积极利用的十大最常见和最危险漏洞的榜首。
好吧,明天太阳将会升起,马里奥在声波上仍然有一个“上升”,但是代码注入攻击已经从臭名昭著的OWASP列表中落下了第一个位置,在2021刷新。作为最古老的攻击形式之一,代码注入漏洞的存在时间几乎与计算机网络一样长。该全面漏洞导致了一系列攻击,包括从传统的SQL注入到针对对象图导航库的攻击。它甚至包括使用操作系统注入技术直接攻击服务器。针对攻击者的代码注入漏洞的多功能性——更不用说可能被攻击的位置的数量了——多年来一直将代码注入放在首位。
但代码注入之王已经倒台。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?不可能。它并没有远离自己作为第一安全敌人的位置,只是在OWASP名单上排名第三。低估代码注入攻击的持续危险将是一个错误,但另一个漏洞类别能够超越它的事实意义重大,因为它表明了新的OWASP顶级狗实际上有多广泛,以及为什么开发人员需要密切关注它的发展。
然而,最有趣的事情是,OWASP的前10位2021反映了一个重大的改革,新的类别首次亮相:不安全的设计、软件和数据完整性失败,以及基于社区调查结果的条目:服务器端请求伪造。这些都表明,人们越来越关注体系结构漏洞,并超越了软件安全基准的表面缺陷。
破败的访问控制占据了王冠(并揭示了一种趋势)
破坏的访问控制从OWASP十大漏洞列表的第五位飙升至目前的第一位。与代码注入和不安全设计等新项目一样,破译的访问漏洞包含广泛的编码缺陷,这增加了其可疑的流行性,因为它们共同允许在多个方面造成损害。该类别包括任何可能违反访问控制策略的实例,以便用户可以在其预期权限之外进行操作。
OWASP在将漏洞家族提升到首位时引用了一些破坏访问控制的例子,其中包括使攻击者能够修改URL、内部应用程序状态或HTML页面的一部分的漏洞。它们还允许用户更改其主访问密钥,以便应用程序、站点或API相信他们是其他人,比如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改JSON web令牌、cookie或访问控制令牌等内容。
一旦被利用,攻击者可以利用这一系列漏洞绕过文件或对象授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,如删除数据库。除了越来越常见之外,这也使得访问控制中断变得极其危险。
身份验证和访问控制漏洞正在成为攻击者利用的最肥沃土壤,这一点非常引人注目,但并不令人惊讶。Verizon最新的数据泄露调查报告显示,访问控制问题在几乎所有行业都很普遍,尤其是IT和医疗行业,高达85%的泄露涉及人为因素。现在,“人为因素”涵盖了钓鱼攻击等事件,这不是一个工程问题,但3%的漏洞确实涉及可利用的漏洞,根据报告,主要是较旧的漏洞和人为错误导致的,如安全配置错误。
尽管XSS和SQL injection等老旧的安全漏洞继续困扰着开发人员,但越来越多的情况表明,核心安全设计正在失败,让位于对威胁参与者非常有利的体系结构漏洞,尤其是在某个特定版本的应用程序中的安全漏洞被公开后,它们被解锁。
问题是,很少有工程师接受过超出基础知识的培训和技能开发,而真正将自己的知识和实际应用扩展到开发人员通常首先引入的本地化代码级错误之外的工程师就更少了。
防止机器人很少发现的虫子
新分组的访问控制漏洞家族相当多样化。你可以在我们的YouTube频道和博客上找到一些破坏访问控制的具体例子,以及如何阻止它们。或者更好的是,自己尝试一下。
然而,我认为庆祝新的OWASP前10名是很重要的;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括那些扫描仪不一定能检测到的攻击向量。对于发现的每一个代码级缺陷,大多数安全技术堆栈都不会注意到更复杂的体系结构缺陷,无论武库中有多少自动防护罩和武器。虽然OWASP前10名中的大部分仍然是基于扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训范围需要迅速扩大,以实现机器人无法实现的目标。
简单地说,安全扫描器并不能成为伟大的威胁建模者,但一个安全技术娴熟的开发团队可以通过根据最佳实践以及业务需求提高他们的安全智商,为AppSec团队提供不可估量的帮助。这需要考虑到一个好的安全计划中,要理解虽然OWASP前10名是一个很好的基线,但威胁形势是如此快(更不用说内部开发目标的要求),因此必须有一个计划,随着开发人员在安全方面的技能提升,该计划必须更深入、更具体。如果不能做到这一点,将不可避免地导致错过早期补救的机会,并阻碍对预防性、人为主导的网络安全采取成功的整体方法。
关于作者:Matias Madou是Secure Code Warrior的联合创始人和首席技术官。他拥有根特大学计算机工程博士学位,拥有十多年的软件安全实践经验。
