开放式 Web 应用步伐安全项目 (OWASP) 是一个国际非营利组织,致力于为任何有兴趣进步 Web 应用步伐安全性的人提供免费文档、工具、视频和论坛。
OWASP 最初成立为开放式 Web 应用步伐安全项目,并于 2004 年注册为非营利性慈善机构,提供有关最佳实践的公正建议并推动开放标准的创建。
如今,OWASP 致力于帮助开发人员编写更好的软件,并让安全专业人员能够进步软件的安全性,认识到企业应用步伐是企业数字运营的关键底子设施。
从面向客户的电子商务平台到管理财务和客户关系的内部工具,这些应用步伐是运营服从和成功的关键。
对应用步伐的依靠性增长意味着公司将应用步伐推向市场的速度至关重要。快速部署使企业能够快速相应市场需求,利用新兴趋势,并抢在竞争对手之前满足客户期望。
然而,急于推出应用步伐大概会带来大量安全漏洞。开发人员大概会为了赶上末了期限而牺牲安全编码实践,导致暗码等敏感用户数据暴露在外,容易受到黑客攻击。
更糟糕的是,开发周期缩短每每意味着进行全面安全测试的时间淘汰。这意味着严重缺陷大概在应用步伐发布后才被发现,用户下载后就碰面对风险。
这就是 OWASP 的作用所在。
最常见的数据泄露事件与应用步伐安全性不敷有关
根据的“ 2024 年应用步伐安全状况报告”,2023 年十大数据泄露事件中有八起与应用步伐攻击面有关。
报告指出:“仅这八起泄密事件就估计暴露了约 17 亿条记录。暴露的记录数量惊人,这证实应用步伐安全性的现状还不够。”
问题在于,要找到公正的建媾和实用的信息来帮助公司开发应用步伐安全 (AppSec) 步伐大概具有挑衅性,尤其是在开源软件存储库带来的挑衅和风险日益增长的环境下。
这是因为竞争猛烈的技术和服务市场通常会推广特定的工具或供应商。
为了解决这个问题,OWASP 基金会于 2001 年成立。
OWASP 的最初目标是创建一个平台,让安全专家可以分享知识、工具和最佳实践,以进步 Web 应用步伐的安全性。
随着网络从业者争相提升本身在人工智能(AI)安全方面的技能,而且他们的组织迅速采用AI工具、平台、应用步伐和服务,行业中出现了各种资源来帮助从业者应对不断变化的形势。
其中最有效的一个是OWASP AI Exchange。OWASP越来越多地将本身定位为 AI 安全知识的首选资源,包括在 2023 年发布 OWASP LLM 十大榜单,其中记录了 LLM 系统的十大风险以及怎样减轻这些风险的建议。
OWASP AI Exchange 是一项开源协作项目,旨在推动全球 AI 安全标准、法规和知识的开发和共享。它涵盖 AI 威胁、漏洞和控制。
以下是一些主要的 AppSec 挑衅:
根据报告,受访者列出了以下最大的应用步伐安全挑衅:
更频仍的部署意味着需要管理更多的语言。每天至少部署一次应用步伐的公司利用五种以上的编程语言。
团队利用手动流程来清点和分类应用步伐和 API。74% 的团队依靠文档,68% 的团队依靠电子表格。
只有 54% 的重大代码变更经过了全面的安全审查。 22% 的受访者表示,他们仅审查了 24% 或更少的代码变更。
传统的安全审查耗时费力。在接受观察的 400 名安全专家中,81% 表示安全审查耗时超过一个工作日,35% 表示安全审查耗时超过三个工作日。CrowdStrike 估计,安全审查的年度成本略高于 1,167,000 美元。
安全团队正在利用多种工具。 90% 的团队利用三种以上的工具来检测和确定应用步伐漏洞和威胁的优先级。
确定起首要修复的问题的优先级是最大的挑衅。61% 的 AppSec 专业人士表示,这是他们与开发人员互助时面对的最大挑衅。
补救措施很慢。受访者表示,70%的关键问题至少需要12个小时才能解决。
OWASP Top 10 为开发人员设定安全标准
OWASP 以其十大安全风险而著名,这是一份面向开发人员和 Web 应用步伐安全人员的标准意识文档,介绍了 Web 应用步伐面对的最关键安全风险。
十大安全风险可以帮助应对 AppSec 挑衅。
该名单上次更新时间为 2021 年,下一份名单将于 2025 年发布。
十大安全原则被广泛用作非正式标准,如果您刚刚开始挑衅应用步伐安全性的底子知识,那么这是一个很好的出发点。
它告诉您不要做什么,而不是应该做什么。人们喜好它,因为它是十大安全原则。
在确定应用步伐安全的基本框架,但太多组织认为一旦解决了这些安全问题,他们就已经取得了成功,但并没有从此走向成熟。
2021 年 OWASP Top 10 如下:
1. 访问控制失效:这意味着应用没有得当限定对敏感信息或功能的访问。不良行为者可以利用这些漏洞访问未经授权的数据和功能,或实行他们不应该实行的操纵。常见缘故原由包括不安全的直接对象引用、特权提升漏洞和不当的访问控制列表。
2. 加密故障:这指的是数据加密或解密过程中的弱点。弱加密算法、将同一密钥用于多种用途或密钥存储不安全都大概暴露敏感数据。因此,攻击者大概会盗取用户名和暗码、财务信息或其他敏感数据。
3. 注入:攻击者将恶意代码注入用户输入,并由应用步伐解释。一个例子是 SQL 注入,攻击者注入 SQL 代码来操纵数据库。
4. 不安全的设计:这指的是从开发过程一开始就没有思量安全性的应用步伐。从一开始就没有实施得当的身份验证、授权、输入验证和其他安全措施,使应用步伐容易受到攻击。此类别强调了在应用步伐的整个生命周期中构建安全性的重要性。
5. 安全配置错误:有时,即使是安全的应用步伐也会因为配置不当而变得脆弱。不更改默认暗码、保持不必要的服务运行或在服务器或软件组件上利用不安全的设置,都会造成安全漏洞,攻击者很容易利用这些漏洞。
6. 易受攻击和过时的组件:利用具有已知安全漏洞的库、框架或其他组件会带来风险,因为攻击者可以利用这些已知问题来访问应用步伐。这就是为什么利用最新的安全补丁更新组件至关重要。
7. 身份识别和认证失败:弱登录系统、容易被猜到的暗码、不利用多因素认证以及不安全的会话管理都属于此类。攻击者可以利用这些弱点冒充正当用户或得到未经授权的访问权限。
8. 软件和数据完整性故障:此类别偏重于掩护代码和数据免遭未经授权的修改。恶意行为者可以利用漏洞篡改代码实行或修改存储的数据,从而导致安全漏洞。
9. 安全日记和监控失败:日记和安全监控不敷会造成盲点,使得识别入侵企图或异常系统运动变得困难。这可以使攻击者在较长时间内不被发现。
10. 服务器端哀求伪造:恶意攻击者可利用此漏洞操纵服务器。服务器不会访问预期的资源,而是在不知情的环境下向外部系统发出未经授权的哀求,从而大概危及敏感数据。
攻击者可利用此漏洞盗取数据、攻击其他系统或在服务器本身上实行未经授权的操纵。
OWASP Top 10 很重要,因为它提供了一种通用语言,让安全人员可以快速了解他们应该担心什么。
将这些信息转达给组织中的其他人,例如开发人员或云架构师。
OWASP Top 10 提供了某些内容被列入名单的缘故原由、为什么会出现问题以及公司可以接纳哪些措施来修复这些问题的配景信息。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |