Топ-10 OWASP - 2017 Десять самых критичных угроз безопасности веб-приложений [OWASP] (pdf) читать постранично, страница - 21
- Топ-10 OWASP - 2017 Десять самых критичных угроз безопасности веб-приложений 1.95 Мб, 25с. скачать: (pdf) - (pdf+fbd) читать: (полностью) - (постранично) - OWASP
Книга в формате pdf! Изображения и текст могут не отображаться!
[Настройки текста] [Cбросить фильтры]
прил.
4.0
Дополнительные риски, требующие внимания
Помимо угроз, представленных в Топ-10, существуют другие риски, которые необходимо оценивать и учитывать.
Некоторые из них уже описывались в прошлых версиях Топ-10, а некоторые — нет, включая новые техники атак, которые
появляются постоянно. Ниже перечислены дополнительные угрозы безопасности приложений (по номеру CWE), на
которые также необходимо обратить внимание:
• CWE-352: Межсайтовая подмена запросов (CSRF)
• CWE-400: Неконтролируемое использование ресурсов ("Чрезмерное потребление ресурсов", "Отказ в обслуживании
приложения")
• CWE-434: Отсутствие ограничений на загрузку файлов небезопасного типа
• CWE-451: Некорректное представление важной информации интерфейсом пользователя (Подмена интерфейса/курсора
и прочее)
• CWE-601: Перенаправление на небезопасный сайт ("Открытая переадресация")
• CWE-799: Некорректное ограничение частоты взаимодействия (Противодействие автоматизации)
• CWE-829: Использование функций недоверенных источников (Сторонний контент)
• CWE-918: Подмена запросов на стороне сервера (SSRF)
+МД
23
Методология и данные
Обзор
На саммите OWASP активные участники и члены сообщества приняли решение о представлении уязвимостей, двух
перспективных классах уязвимостей, а также классификации уязвимостей на основе количественных и
качественных данных.
Отраслевые исследования
Для исследования были отобраны категории уязвимостей, которые ранее считались кандидатами или упоминались в
отзывах на 2017 RC1 в списке рассылки Топ-10. Мы упорядочили эти данные и попросили сообщество выделить топчетыре уязвимостей, которые стоит включить в Топ-10 OWASP 2017. Опрос проводился со 2 августа по 18 сентября
2017 г. Было получено 516 ответов, по которым определили критичность уязвимостей.
Критичность
Категории уязвимостей по данным исследования
Оценка
1
Разглашение конфиденциальных данных (Нарушение конфиденциальности) [CWE-359]
748
2
Уязвимости, связанные с шифрованием [CWE-310/311/312/326/327]
584
3
Десериализация недоверенных данных [CWE-502]
514
4
Обход авторизации с использованием ключа пользователя (Небезопасные прямые
ссылки на объекты* и Подмена пути) [CWE-639]
493
5
Недостатки журналирования и мониторинга [CWE-223 / CWE-778]
440
Разглашение частной информации без сомнения является самой критичной уязвимостью, но она лишь дополняет
существующую категорию A3:2017-Разглашение конфиденциальных данных. Сюда же можно отнести уязвимости,
связанные с шифрованием. Небезопасная десериализация была третьей по данным опроса, поэтому после оценки ее
опасности она была добавлена в Топ-10 в качестве категории A8:2017-Небезопасная десериализация. Под четвертым
номером шли уязвимости, связанные с ключами пользователей, и их включили в список в категорию A5:2017-Недостатки
контроля доступа. Приятно видеть, что в ходе исследования высоко оценили важность этих уязвимостей, поскольку данных
по ним не много. Пятыми в списке шли недостатки журналирования и мониторинга, которые дополнили Топ-10 категорией
A10:2017-Недостатки журналирования и мониторинга. Настало время, когда приложение должно уметь определять атаки,
регистрировать связанные с ними события, а также выводить предупреждения и реагировать на них.
Открытый сбор данных
Традиционно, данные собирались и анализировались на основе частотности: сколько уязвимостей было обнаружено в
приложениях. Известно, что автоматизированные средства сообщают обо всех фактах обнаружения одной и той же
уязвимости, а специалисты — об обнаружении одной уязвимости, но в разных условиях. Поэтому при анализе сложно
объединить два этих подхода.
Для версии 2017 коэффициент уязвимости рассчитывался на основе количества приложений, имеющих одну или более
уязвимостей определенного типа. Большинство данных предоставлялось в двух вариантах: в традиционном частотном, с
подсчетом всех фактов обнаружения уязвимости, и нетрадиционном, с подсчетом приложений, в которых уязвимость была
обнаружена (один или более раз). Несмотря на несовершенство, этот подход позволяет сравнить данные, полученные
специалистами с помощью специализированных средств, и данные, полученные специализированными средствами с
участием специалистов. Необработанные данные и результаты анализа доступны на GitHub. Для будущих версий Топ-10
планируется создание дополнительной структуры, предназначенной для этих целей.
В ответ на призыв о сборе информации было получено 40+ комплектов данных. Большинство из них идентично
полученным в ходе первоначального сбора (на основе частотного подхода), поэтому мы использовали данные только 23
источников, охватывающие ≈114 тыс. приложений. По возможности, брались данные за один год от одного источника.
Большинство приложений являются уникальными, хотя есть вероятность повторения приложений в ежегодных данных
4.0
Дополнительные риски, требующие внимания
Помимо угроз, представленных в Топ-10, существуют другие риски, которые необходимо оценивать и учитывать.
Некоторые из них уже описывались в прошлых версиях Топ-10, а некоторые — нет, включая новые техники атак, которые
появляются постоянно. Ниже перечислены дополнительные угрозы безопасности приложений (по номеру CWE), на
которые также необходимо обратить внимание:
• CWE-352: Межсайтовая подмена запросов (CSRF)
• CWE-400: Неконтролируемое использование ресурсов ("Чрезмерное потребление ресурсов", "Отказ в обслуживании
приложения")
• CWE-434: Отсутствие ограничений на загрузку файлов небезопасного типа
• CWE-451: Некорректное представление важной информации интерфейсом пользователя (Подмена интерфейса/курсора
и прочее)
• CWE-601: Перенаправление на небезопасный сайт ("Открытая переадресация")
• CWE-799: Некорректное ограничение частоты взаимодействия (Противодействие автоматизации)
• CWE-829: Использование функций недоверенных источников (Сторонний контент)
• CWE-918: Подмена запросов на стороне сервера (SSRF)
+МД
23
Методология и данные
Обзор
На саммите OWASP активные участники и члены сообщества приняли решение о представлении уязвимостей, двух
перспективных классах уязвимостей, а также классификации уязвимостей на основе количественных и
качественных данных.
Отраслевые исследования
Для исследования были отобраны категории уязвимостей, которые ранее считались кандидатами или упоминались в
отзывах на 2017 RC1 в списке рассылки Топ-10. Мы упорядочили эти данные и попросили сообщество выделить топчетыре уязвимостей, которые стоит включить в Топ-10 OWASP 2017. Опрос проводился со 2 августа по 18 сентября
2017 г. Было получено 516 ответов, по которым определили критичность уязвимостей.
Критичность
Категории уязвимостей по данным исследования
Оценка
1
Разглашение конфиденциальных данных (Нарушение конфиденциальности) [CWE-359]
748
2
Уязвимости, связанные с шифрованием [CWE-310/311/312/326/327]
584
3
Десериализация недоверенных данных [CWE-502]
514
4
Обход авторизации с использованием ключа пользователя (Небезопасные прямые
ссылки на объекты* и Подмена пути) [CWE-639]
493
5
Недостатки журналирования и мониторинга [CWE-223 / CWE-778]
440
Разглашение частной информации без сомнения является самой критичной уязвимостью, но она лишь дополняет
существующую категорию A3:2017-Разглашение конфиденциальных данных. Сюда же можно отнести уязвимости,
связанные с шифрованием. Небезопасная десериализация была третьей по данным опроса, поэтому после оценки ее
опасности она была добавлена в Топ-10 в качестве категории A8:2017-Небезопасная десериализация. Под четвертым
номером шли уязвимости, связанные с ключами пользователей, и их включили в список в категорию A5:2017-Недостатки
контроля доступа. Приятно видеть, что в ходе исследования высоко оценили важность этих уязвимостей, поскольку данных
по ним не много. Пятыми в списке шли недостатки журналирования и мониторинга, которые дополнили Топ-10 категорией
A10:2017-Недостатки журналирования и мониторинга. Настало время, когда приложение должно уметь определять атаки,
регистрировать связанные с ними события, а также выводить предупреждения и реагировать на них.
Открытый сбор данных
Традиционно, данные собирались и анализировались на основе частотности: сколько уязвимостей было обнаружено в
приложениях. Известно, что автоматизированные средства сообщают обо всех фактах обнаружения одной и той же
уязвимости, а специалисты — об обнаружении одной уязвимости, но в разных условиях. Поэтому при анализе сложно
объединить два этих подхода.
Для версии 2017 коэффициент уязвимости рассчитывался на основе количества приложений, имеющих одну или более
уязвимостей определенного типа. Большинство данных предоставлялось в двух вариантах: в традиционном частотном, с
подсчетом всех фактов обнаружения уязвимости, и нетрадиционном, с подсчетом приложений, в которых уязвимость была
обнаружена (один или более раз). Несмотря на несовершенство, этот подход позволяет сравнить данные, полученные
специалистами с помощью специализированных средств, и данные, полученные специализированными средствами с
участием специалистов. Необработанные данные и результаты анализа доступны на GitHub. Для будущих версий Топ-10
планируется создание дополнительной структуры, предназначенной для этих целей.
В ответ на призыв о сборе информации было получено 40+ комплектов данных. Большинство из них идентично
полученным в ходе первоначального сбора (на основе частотного подхода), поэтому мы использовали данные только 23
источников, охватывающие ≈114 тыс. приложений. По возможности, брались данные за один год от одного источника.
Большинство приложений являются уникальными, хотя есть вероятность повторения приложений в ежегодных данных
Последние комментарии
23 часов 55 минут назад
1 день 4 часов назад
1 день 12 часов назад
1 день 15 часов назад
1 день 15 часов назад
3 дней 2 часов назад