提高 Web 应用程序安全性的标准
开放式 Web 应用程序安全项目 (OWASP) 是一个国际非营利组织,致力于为任何有兴趣提高 Web 应用程序安全性的人提供免费文档、工具、视频和论坛。
OWASP 最初成立为开放式 Web 应用程序安全项目,并于 2004 年注册为非营利性慈善机构,提供有关最佳实践的公正建议并推动开放标准的创建。
如今,OWASP 致力于帮助开发人员编写更好的软件,并让安全专业人员能够提高软件的安全性,认识到企业应用程序是企业数字运营的关键基础设施。
从面向客户的电子商务平台到管理财务和客户关系的内部工具,这些应用程序是运营效率和成功的关键。
对应用程序的依赖性增加意味着公司将应用程序推向市场的速度至关重要。快速部署使企业能够快速响应市场需求,利用新兴趋势,并抢在竞争对手之前满足客户期望。
然而,急于推出应用程序可能会带来大量安全漏洞。开发人员可能会为了赶上最后期限而牺牲安全编码实践,导致密码等敏感用户数据暴露在外,容易受到黑客攻击。
更糟糕的是,开发周期缩短往往意味着进行全面安全测试的时间减少。这意味着严重缺陷可能在应用程序发布后才被发现,用户下载后就会面临风险。
这就是 OWASP 的作用所在。
最常见的数据泄露事件与应用程序安全性不足有关
根据的“ 2024 年应用程序安全状况报告”,2023 年十大数据泄露事件中有八起与应用程序攻击面有关。
报告指出:“仅这八起泄密事件就估计暴露了约 17 亿条记录。暴露的记录数量惊人,这证明应用程序安全性的现状还不够。”
问题在于,要找到公正的建议和实用的信息来帮助公司开发应用程序安全 (AppSec) 程序可能具有挑战性,尤其是在开源软件存储库带来的挑战和风险日益增加的情况下。
这是因为竞争激烈的技术和服务市场通常会推广特定的工具或供应商。
为了解决这个问题,OWASP 基金会于 2001 年成立。
OWASP 的最初目标是创建一个平台,让安全专家可以分享知识、工具和最佳实践,以提高 Web 应用程序的安全性。
随着网络从业者争相提升自己在人工智能(AI)安全方面的技能,并且他们的组织迅速采用AI工具、平台、应用程序和服务,行业中出现了各种资源来帮助从业者应对不断变化的形势。
其中最有用的一个是OWASP AI Exchange。OWASP越来越多地将自己定位为 AI 安全知识的首选资源,包括在 2023 年发布 OWASP LLM 十大榜单,其中记录了 LLM 系统的十大风险以及如何减轻这些风险的建议。
OWASP AI Exchange 是一项开源协作项目,旨在推动全球 AI 安全标准、法规和知识的开发和共享。它涵盖 AI 威胁、漏洞和控制。
以下是一些主要的 AppSec 挑战:
根据报告,受访者列出了以下最大的应用程序安全挑战:
更频繁的部署意味着需要管理更多的语言。每天至少部署一次应用程序的公司使用五种以上的编程语言。
团队使用手动流程来清点和分类应用程序和 API。74% 的团队依赖文档,68% 的团队依赖电子表格。
只有 54% 的重大代码变更经过了全面的安全审查。 22% 的受访者表示,他们仅审查了 24% 或更少的代码变更。
传统的安全审查耗时费力。在接受调查的 400 名安全专家中,81% 表示安全审查耗时超过一个工作日,35% 表示安全审查耗时超过三个工作日。CrowdStrike 估计,安全审查的年度成本略高于 1,167,000 美元。
安全团队正在使用多种工具。 90% 的团队使用三种以上的工具来检测和确定应用程序漏洞和威胁的优先级。
确定首先要修复的问题的优先级是最大的挑战。61% 的 AppSec 专业人士表示,这是他们与开发人员合作时面临的最大挑战。
补救措施很慢。受访者表示,70%的关键问题至少需要12个小时才能解决。
OWASP Top 10 为开发人员设定安全标准
OWASP 以其十大安全风险而闻名,这是一份面向开发人员和 Web 应用程序安全人员的标准意识文档,介绍了 Web 应用程序面临的最关键安全风险。
十大安全风险可以帮助应对 AppSec 挑战。
该名单上次更新时间为 2021 年,下一份名单将于 2025 年发布。
十大安全原则被广泛用作非正式标准,如果您刚刚开始挑战应用程序安全性的基础知识,那么这是一个很好的起点。
它告诉您不要做什么,而不是应该做什么。人们喜欢它,因为它是十大安全原则。
在确定应用程序安全的基本框架,但太多组织认为一旦解决了这些安全问题,他们就已经取得了成功,但并没有从此走向成熟。
2021 年 OWASP Top 10 如下:
1. 访问控制失效:这意味着应用没有适当限制对敏感信息或功能的访问。不良行为者可以利用这些漏洞访问未经授权的数据和功能,或执行他们不应该执行的操作。常见原因包括不安全的直接对象引用、特权提升漏洞和不当的访问控制列表。
2. 加密故障:这指的是数据加密或解密过程中的弱点。弱加密算法、将同一密钥用于多种用途或密钥存储不安全都可能暴露敏感数据。因此,攻击者可能会窃取用户名和密码、财务信息或其他敏感数据。
3. 注入:攻击者将恶意代码注入用户输入,并由应用程序解释。一个例子是 SQL 注入,攻击者注入 SQL 代码来操纵数据库。
4. 不安全的设计:这指的是从开发过程一开始就没有考虑安全性的应用程序。从一开始就没有实施适当的身份验证、授权、输入验证和其他安全措施,使应用程序容易受到攻击。此类别强调了在应用程序的整个生命周期中构建安全性的重要性。
5. 安全配置错误:有时,即使是安全的应用程序也会因为配置不当而变得脆弱。不更改默认密码、保持不必要的服务运行或在服务器或软件组件上使用不安全的设置,都会造成安全漏洞,攻击者很容易利用这些漏洞。
6. 易受攻击和过时的组件:使用具有已知安全漏洞的库、框架或其他组件会带来风险,因为攻击者可以利用这些已知问题来访问应用程序。这就是为什么使用最新的安全补丁更新组件至关重要。
7. 身份识别和认证失败:弱登录系统、容易被猜到的密码、不使用多因素认证以及不安全的会话管理都属于此类。攻击者可以利用这些弱点冒充合法用户或获得未经授权的访问权限。
8. 软件和数据完整性故障:此类别侧重于保护代码和数据免遭未经授权的修改。恶意行为者可以利用漏洞篡改代码执行或修改存储的数据,从而导致安全漏洞。
9. 安全日志和监控失败:日志和安全监控不足会造成盲点,使得识别入侵企图或异常系统活动变得困难。这可以使攻击者在较长时间内不被发现。
10. 服务器端请求伪造:恶意攻击者可利用此漏洞操纵服务器。服务器不会访问预期的资源,而是在不知情的情况下向外部系统发出未经授权的请求,从而可能危及敏感数据。
攻击者可利用此漏洞窃取数据、攻击其他系统或在服务器本身上执行未经授权的操作。
OWASP Top 10 很重要,因为它提供了一种通用语言,让安全人员可以快速了解他们应该担心什么。
将这些信息传达给组织中的其他人,例如开发人员或云架构师。
OWASP Top 10 提供了某些内容被列入名单的原因、为什么会出现问题以及公司可以采取哪些措施来修复这些问题的背景信息。