2017.W50 - OWASP Top 10 > 八卦 x 资安 ## 前言 ## 居然有人寄信问我可以发表文章 内容是否适合放到 NetSecurity 板上 说真的 连我这没有技术的内容都敢连续发 50 篇 大家不用顾虑太多 不过建议如果是 *案例分析* 礼貌上需要把 IP、Domain Name、URL 这些容易判断对方是谁的资料稍微上个马赛克 ## 内容 ## OWASP [0] (Open Web Application Security Project) 是一个非营利组织 专着在各种网页应用程式的安全议题 并开发各种工具、发表相关文章等 持续替安全议题作出贡献 其中知名的则是每隔几年会释出的 OWASP Top 10[1] 其中会根据这段时间发生的安全事件 提出十个需要关注的安全性议题 在 2017 年版本中分别提出来以下议题： - Injection - Boken Authentication - Sensitive Data Exposure - XXE - Broken Access Control - Security Misconfiguration - XSS - Insecure Deserialization - Using Components with Known Vulnerabilities - Insufficient Logging & Monitoring 而其中的 A1 - Injection 依然是网页应用程式的第一优先关注的议题 Injection 包含了 SQL Injection、NoSQL Injectino、Command Injection 等 藉由未经处理的使用者输入 而执行意料以外的指令 因为是透过应用程式的权限执行 通常权限不会太低：至少跟应用程式一致 透过 Injection 後也容易可以拿到低权限的 Shell 除了上述 Top 10 之外不代表没有其他值得注意的安全性议题 Top 10 的目的在於点出这段时间热门的安全性议题 像是问题严重、开发者依然没有意识而开发出有问题的服务 或是重要框架、函式库含有安全性问题 导致大量相依的服务也出现一样的漏洞 在 OWASP 的演讲中有提到 Top 10 本身性质不像是证照或 QA Check List 的性质 而是开发者本身的 Newbie Guild 或基本教育训练 藉由培养开发者本身的安全意识 在开发阶段就可以避免出现常见的安全性漏洞 [0]: https://www.owasp.org/index.php/Main_Page [1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1513084424.A.D1D.html