2017.W50 - OWASP Top 10
> 八卦 x 資安
## 前言 ##
居然有人寄信問我可以發表文章 內容是否適合放到 NetSecurity 板上
說真的 連我這沒有技術的內容都敢連續發 50 篇 大家不用顧慮太多
不過建議如果是 *案例分析* 禮貌上需要把 IP、Domain Name、URL
這些容易判斷對方是誰的資料稍微上個馬賽克
## 內容 ##
OWASP [0] (Open Web Application Security Project) 是一個非營利組織
專著在各種網頁應用程式的安全議題 並開發各種工具、發表相關文章等
持續替安全議題作出貢獻
其中知名的則是每隔幾年會釋出的 OWASP Top 10[1]
其中會根據這段時間發生的安全事件 提出十個需要關注的安全性議題
在 2017 年版本中分別提出來以下議題:
- Injection
- Boken Authentication
- Sensitive Data Exposure
- XXE
- Broken Access Control
- Security Misconfiguration
- XSS
- Insecure Deserialization
- Using Components with Known Vulnerabilities
- Insufficient Logging & Monitoring
而其中的 A1 - Injection 依然是網頁應用程式的第一優先關注的議題
Injection 包含了 SQL Injection、NoSQL Injectino、Command Injection 等
藉由未經處理的使用者輸入 而執行意料以外的指令
因為是透過應用程式的權限執行 通常權限不會太低:至少跟應用程式一致
透過 Injection 後也容易可以拿到低權限的 Shell
除了上述 Top 10 之外不代表沒有其他值得注意的安全性議題
Top 10 的目的在於點出這段時間熱門的安全性議題
像是問題嚴重、開發者依然沒有意識而開發出有問題的服務
或是重要框架、函式庫含有安全性問題 導致大量相依的服務也出現一樣的漏洞
在 OWASP 的演講中有提到 Top 10 本身性質不像是證照或 QA Check List 的性質
而是開發者本身的 Newbie Guild 或基本教育訓練
藉由培養開發者本身的安全意識 在開發階段就可以避免出現常見的安全性漏洞
[0]: https://www.owasp.org/index.php/Main_Page
[1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf