光一样的少年|使用OWASP的AppSec入门使用OWASP的AppSec入门

文章图片
使用OWASP的AppSec入门
我们继续看到大数据泄露影响各种规模的组织。随着网络安全问题的持续发生，甚至频率和严重性的增加，我们还想知道：“我们下一步？”和“我该怎么办？”这就是OWASP的用武之地。
什么是OWASPTop10？OWASP以OWASPTop10最著名，它是OpenWebApplicationSecurityProject ，这是一个开放社区，提供免费的信息和有关应用程序安全性的培训。 OWASPTop10是Web应用程序的常见危险安全风险列表，并定期更新以保持最新状态。如果您在应用程序安全性方面做得不太好，或者您所做的只是临时的，则OWASPTop10是一个很好的起点。
今天的OWASP十大漏洞是什么？
OWASPTop10的最新更新于2017年，其中包括以下漏洞A1-A10：
大量资金的投入认证失败敏感数据暴露XML外部实体（XXE）存取控制中断安全配置错误跨站脚本（XSS）不安全的反序列化使用具有已知漏洞的组件记录和监控不足OWASP提供了前十名的文档，并为每个漏洞专门提供了一个网页。该页面描述了每个漏洞是什么，并提供了风险评分，该评分用于帮助对可能的漏洞进行优先级划分和分类。请参阅下面的页面示例：

文章图片
使用OWASP的AppSec入门
页面上的各个部分可帮助您了解每个漏洞的重要性和危险。
该应用程序容易受到攻击吗？
名为“应用程序易受攻击”部分解释了应用程序具有此漏洞的含义，以及哪种工具（DAST ， SAST等）可用于发现该特定漏洞。
攻击场景示例
“攻击场景示例”部分显示了攻击者如何利用每个漏洞。此信息可用于帮助构建测试，以及就软件漏洞如何影响应用程序安全性向团队进行教育。
如何预防
“如何预防”部分是最有趣的恕我直言。安全测试很重要，但是构建安全代码是增强应用程序安全性的唯一坚实基础。本节概述了各种策略，这些策略不仅可以通过早期测试，而且可以通过构建从根本上不容易受到攻击的更好的代码来帮助您左移安全性。这是“设计安全性”方法的基础（例如， GDPR要求）。
参考文献
最后，每个Top-10项目都有一个部分，其中包含有关每个问题，避免问题的方法以及测试方法的更多信息。它还包含将导致您遇到相关问题的链接。在您不断提高软件安全性时，这将非常有用。
阅读OWASPTop10文档时，您可能会发现其中一些仅从名称上就显而易见，而另一些则需要更深入地理解。例如， A1（“注入”）实际上是广泛的集合，例如SQL注入、命令注入、LDAP注入等等。此安全弱点的根本原因是，在应用程序使用用户输入之前，没有对用户输入进行充分的检查和清理。
为什么使用OWASPTop10？OWASPTop10中提供了信息、培训和建议。您可以了解常见的安全问题以及检测甚至完全避免某些问题的策略。所有这些信息都是免费提供的，并且会不断更新和改进。
合规性还意味着我们需要确切了解工具包中的哪个特定项目支持标准的哪个特定部分。在静态分析的情况下，这意味着知道哪些检查者支持标准中的哪些项目，以及标准中是否存在需要静态分析之外的项目（即，对等代码查看或软件组成分析）。
从头开始对于软件开发组织来说，从头开始进行安全性保护很容易（并且很危险），可以使用外部、后期周期的全系统测试（例如渗透测试）（我可能将其称为DevTestOpsSec）。当然，此测试非常适合证明应用程序/系统不包含OWASP中列举的任何漏洞。但是，这种黑盒测试并不是实际产生更安全的代码的最有效方法。我们不想依靠黑盒测试来保护我们的软件或发现错误，而是想要使用它来证明该软件是安全的。