10大Web應用安全威脅及防護建議(2021-2023年)
責編:gltian |2024-03-26 17:40:50OWASP(Open Worldwide Application Security Project)是一家致力于應用安全威脅研究的非盈利機構。通過對超過20萬個組織進行調研分析,該機構每三年左右就會發布一次《Web應用安全風險Top10》報告,這個報告已經成為全球企業開展Web應用安全防護時的重要參考。然而最近,卡巴斯基的一個安全研究小組卻發現,OWASP 所給出的Web應用安全威脅排名,和其實際遵循黑盒、灰盒和白盒等應用程序風險評估方法實際測試后所得出的結論有著較大差異,組織應該根據威脅的潛在影響和可利用性,更靈活地評估自身Web應用安全威脅態勢。
在本次測試中,卡巴斯基的安全研究團隊在2021年至2023年上線的Web應用程序安全評估樣本中收集數據,其中近一半的應用程序(44%)用Java編寫,其次是用NodeJS(17%)和PHP(12%)編寫,有三分之一以上(39%)的應用程序使用了微服務架構。測試人員遵循黑盒、灰盒和白盒方法對所獲得的數據進行了評估分析,并以此總結了過去三年(2021-2023年)全球企業組織面臨的最普遍、最嚴重的10大Web應用安全威脅(詳見下表)。
1?訪問控制中斷
本次測試所分析的所有Web應用程序中,70%的項目被發現含有與訪問控制問題相關的安全威脅。而幾乎一半的訪問控制中斷安全威脅具有中等風險級別,37%的項目具有高級別風險。這些風險隱患可能導致Web應用程序出錯,并影響組織的業務開展。對于Web應用程序而言,所提交的數據驗證不足將使攻擊者可以非法訪問內部服務,并可能執行導致財務損失的攻擊。
>防護建議:
組織應該根據基于角色的訪問模式實施身份驗證和授權控制。除非某個Web應用程序是面向所有人公開訪問,否則就應該在默認情況下拒絕訪問。
2?數據泄露
這種類型的安全威脅在Web應用程序中大量存在。與訪問控制中斷相比,敏感數據泄露含有數量更多的低風險級漏洞隱患,但也存在高級別的風險漏洞。研究人員在分析過程中發現的敏感數據包括純文本密碼和憑據、Web應用程序發布完整路徑以及其他可用于了解應用程序架構的涉密信息。
防護建議:
應該嚴格禁止在Web應用程序發布目錄中存儲含有敏感數據(如密碼或備份)的文件。同時,在訪問應用程序函數時需要加強敏感數據檢測防護,除非該函數本身用于訪問敏感數據。
3?服務器端請求偽造(SSRF)
云計算和微服務架構的應用已經非常普遍,與傳統架構相比,會有更多的服務通過HTTP(或其他輕量級協議)進行通信,因此微服務架構擴大了SSRF濫用的攻擊面。在本次測試所分析的應用程序中,一半以上(57%)的應用程序含有服務器端請求偽造安全威脅,這讓惡意攻擊者可以繞過應用程序邏輯與內部服務進行非法鏈接通信。惡意分子還可以結合使用SSRF與其他漏洞,策劃攻擊Web服務器的方法或讀取應用程序源代碼。
防護建議:
組織應該為應用程序可以請求的資源創建一份允許列表(白名單),并阻止請求該列表之外的任何資源,不接受含有完整URL的請求。此外,還設置防火墻過濾器,防止用戶訪問未授權的域。
4?SQL注入
在本次測試中,研究人員發現大多數高風險漏洞都與SQL注入有關。不過,由于測試中所分析的應用程序中只有不到一半(43%)的項目易受該類安全威脅的攻擊,因此研究人員將該類別排在10大Web應用安全威脅的第四位。
這種類型的漏洞可能導致敏感信息被盜或遠程代碼執行。在一些測試項目中,研究人員對那些向公眾用戶開放注冊的應用程序實施了SQL注入,最終成功獲得了內部系統管理員的憑據。
防護建議:
組織應該在應用程序源代碼中使用參數化的SQL查詢,而不是將它們與SQL查詢模板相結合。如果不能使用參數化的SQL查詢,就應該優先確保用戶輸入并用于生成SQL查詢的數據無法用于修改查詢邏輯。
5?跨站腳本(XSS)
本次測試所分析的Web應用程序中61%存在跨站腳本安全威脅。在大多數情況下,這一威脅具有中等風險水平,因此研究人員將其排在第五位,盡管它很普遍。超過一半(55%)的XSS漏洞與第三方科技公司開發的應用程序有關,39%的XSS漏洞與公共部門使用的應用程序有關。
針對應用程序客戶端的XSS攻擊可用于獲取用戶身份驗證信息,比如cookie、網絡釣魚或傳播惡意軟件。在一些攻擊場景中,結合其他安全漏洞的XSS攻擊允許將用戶密碼改為已知值,從而利用該用戶的特權獲得應用程序訪問權。
防護建議:
組織可以將HTML頁面中不安全的格式化字符替換為非格式化的等效字符,并提供處理用戶輸入的安全機制。針對從外部數據源獲得,并在瀏覽器中顯示的任何數據,都應該這么做。
6?中斷的身份驗證
研究人員在這個類別中發現的幾乎一半的安全威脅具有中等風險水平(47%),但也存在高風險漏洞,允許代表用戶的客戶端訪問Web應用程序。比如說,某個應用程序沒有JWT(Jason Web Token)簽名檢查,惡意分子就可以篡改自己的JWT(通過指定另一個用戶的ID來篡改),并使用生成的令牌在賬戶內執行各種操作。
防護建議:
組織應該對用于訪問應用程序的身份驗證數據進行適當的驗證。如果使用令牌和會話ID簽名,進行驗證。用于身份驗證的密文(密鑰和簽名等)應該是唯一的,并具有高度的熵。此外,組織要嚴格禁止在應用程序代碼中存儲密文。
7?安全配置不當
研究人員發現,在所有被測試的應用程序中,近一半的項目存在安全配置不當的威脅隱患。該類漏洞涵蓋從啟用的調試模式到禁用的身份驗證等一系列安全威脅。例如,一個應用程序的Nginx服務器允許訪問父目錄下的文件(相對于Alias指令中指定的目錄),這就導致了可以用于訪問含有機密數據的文件。
防護建議:
組織在配置IT基礎設施中使用的系統時,應遵循安全最佳實踐。應該將設置過程自動化,以消除安裝新系統時出現的錯誤。此外,對測試系統和生產系統使用不同的憑據,并禁用不使用的組件。
8?蠻力攻擊防護不足
在本次測試的應用程序中,超過三分之一允許蠻力攻擊。一次性密碼和針對各種資源(比如賬戶或文件系統)的身份驗證是Web應用程序中最易受攻擊的因素。
具體來說,當組織對蠻力攻擊防護能力不足時,攻擊者就會通過蠻力執行OTP攻擊,從而繞過現有的身份驗證因素,未經授權訪問應用程序。
防護建議:
組織應該使用CAPTCHA使攻擊者更難蠻力破解憑據。用戶還可以使用預防控制(WAF和IPS)及時阻止蠻力攻擊嘗試,不僅應對針對同一賬戶的多次失效登錄,還可以應對同一來源針對不同賬戶的多次失效登錄。
9?薄弱的用戶密碼
在本次測試的所有Web應用程序中,22%的項目被發現應用了薄弱密碼。這類漏洞的比例比較低,一個解釋是,安全分析師經常使用客戶測試平臺,而不是實際系統。雖然含有此類漏洞的應用程序數量很少,但利用弱憑據的后果可能很嚴重。視賬戶類型的不同,攻擊者可以訪問基本的應用程序功能或管理場景,這可能會影響業務流程。
防護建議:
組織應該實施弱密碼檢查機制,比如針對10000個最薄弱的密碼列表執行檢查,以發現新密碼或更改的密碼。強制執行密碼長度、復雜性和過期要求,以及其他基于證據的現代密碼策略。
10?未修復的已知漏洞
最后一項安全威脅是Web應用程序中存在大量未修復的已知漏洞。易受攻擊的組件包括框架和各種應用程序依賴項,比如庫和模塊。其中一些允許研究人員訪問應用程序使用的服務器,從而滲入到客戶的內部網絡。
防護建議:
組織應該定期清點用戶使用的軟件組件,并根據需要進行補丁更新。同時,應該僅使用已成功通過安全測試的受信任組件,禁用任何未使用的組件。
來源:安全牛