2017年4月初,OWASP發布了關於Top10的征求意見版。 爭議最大的是A7攻擊檢測與防范不足。 但我主要是按照日常的滲透漏洞進行解讀分析的。
解讀完畢后,首發t00ls原創文章。
https://www.t00ls.net/viewthread.php?from=notice&tid=39385
0x00 Top 10
OWASP Top10漏洞體系長期以來作為Web攻防白帽子既基礎又核心的一個標准。漏洞標准變化如下:
變化內容:
- 合並了2013-A4“不安全的直接對象引用”和2013-A7“功能級訪問控制功能缺失”到2017-A4“無效的訪問控制”。
- 增加了2017-A7:攻擊檢測與防范不足
- 增加了 2017-A10: 未受保護的API
- 去掉了: 2013-A10:未驗證的重定向和轉發
- 根據增刪內容,標准中多次提到了API安全的關鍵字
- 根據解說內容,標准逐漸向抽象性漏洞過渡和延伸,包括登錄體系、會話權限等系列的邏輯漏洞
0x02 漏洞關聯
官方提到 T10圍繞主要風險區域進行整理,而不是密封,不重疊或嚴格的分類。 其中一些是圍繞着攻擊者整理的,一些是脆弱性,一些是防御,一些是資產。 組織應考慮制定措施,以消除這些問題。Top10 與日常滲透的實際的漏洞點結合起來,關聯如下:
當然硬性的把某個漏洞直接歸類到An類型,也不是很友好,比如上傳漏洞歸到A4 – 失效的訪問控制略顯牽強,因為從數據包上面理解更像是注入,但文件包含、任意下載刪除這基本和權限是有關的,所以暫時把文件操作類漏洞歸納為A4。雖然硬性歸納和漏洞堆疊 部分略顯牽強,但這種類型的關聯能夠體現線性拓展以便進一步建模分析,用以滾雪球式充當產品漏報和誤報的理論基礎。
0x02 接口安全
本次更新,API關鍵字上鏡率特別高,SO嘗試單獨對接口安全進行匯總分析。 科普到關於API的定義和范圍,簡單理解就是接口,連接兩部分代碼的粘合劑。我們可以在APIStore搜索到關於N多產品分類的接口,但這些API對於已有漏洞挖掘經驗來分析,規律統一,所以我們按照日常漏洞挖掘的思維去分類,如下:
回想Web安全漏洞挖掘主要集結在輸入輸出、登錄體系、會話權限三大類(包含了常見的WEB漏洞以及邏輯漏洞),當然依據目前移動互聯網的趨勢還有多種文件及數據類型XML JSON RPC GWT 的接口,所以有必要針對接口安全進行細分及挖掘。滲透過程中經常會遇到手機APP、小程序、微信公眾號類等,好多都是基於WebService,所以仍然可以找到類似Web一樣的服務端漏洞。
Tips:對APP進行反編譯,在內部根據域名和IP進行正則匹配,往往也是個薄弱出發點。
我們再回看一個關於支付接口的漏洞分類,以便進一步佐證接口安全在滲透的地位。當然如果考慮防御的話,更多考慮的是機制是協同。
另外關於接口數據的關聯整合,這個一直想表達的,但礙於案例,目前尚未發布。舉例說明通過登錄接口部分不健全機制,可以獲得用戶名對應的隱藏幾位的手機號,根據手機號可獲得用戶名。還可以根據用戶名能夠對應論壇的個人屬性。這樣經過大量數據爬蟲后,可以對應“用戶名---手機號---個人屬性”的關聯信息。這部分可能在房產、金融等領域會有突出的效果。
0x03 信息參考
OWASP Top 10 - 2017 RC1-English.pdf
OWASP Top 10 - 2017 RC1-chinese.pdf (DSRC翻譯)
OWASP top10 全局關聯圖個人歸納總結
鏈接:http://pan.baidu.com/s/1nuCOMmd 密碼:hrup
