2017.W50 - OWASP Top 10 - 資安

2017.W50 - OWASP Top 10
> 八卦 x 資安

## 前言 ##
居然有人寄信問我可以發表文章 內容是否適合放到 NetSecurity 板上

說真的 連我這沒有技術的內容都敢連續發 50 篇 大家不用顧慮太多

不過建議如果是 *案例分析* 禮貌上需要把 IP、Domain Name、URL

這些容易判斷對方是誰的資料稍微上個馬賽克




## 內容 ##
OWASP [0] (Open Web Application Security Project) 是一個非營利組織

專著在各種網頁應用程式的安全議題 並開發各種工具、發表相關文章等

持續替安全議題作出貢獻



其中知名的則是每隔幾年會釋出的 OWASP Top 10[1]

其中會根據這段時間發生的安全事件 提出十個需要關注的安全性議題

在 2017 年版本中分別提出來以下議題：

- Injection
- Boken Authentication
- Sensitive Data Exposure
- XXE
- Broken Access Control
- Security Misconfiguration
- XSS
- Insecure Deserialization
- Using Components with Known Vulnerabilities
- Insufficient Logging & Monitoring

而其中的 A1 - Injection 依然是網頁應用程式的第一優先關注的議題

Injection 包含了 SQL Injection、NoSQL Injectino、Command Injection 等

藉由未經處理的使用者輸入 而執行意料以外的指令

因為是透過應用程式的權限執行 通常權限不會太低：至少跟應用程式一致

透過 Injection 後也容易可以拿到低權限的 Shell



除了上述 Top 10 之外不代表沒有其他值得注意的安全性議題

Top 10 的目的在於點出這段時間熱門的安全性議題

像是問題嚴重、開發者依然沒有意識而開發出有問題的服務

或是重要框架、函式庫含有安全性問題 導致大量相依的服務也出現一樣的漏洞

在 OWASP 的演講中有提到 Top 10 本身性質不像是證照或 QA Check List 的性質

而是開發者本身的 Newbie Guild 或基本教育訓練

藉由培養開發者本身的安全意識 在開發階段就可以避免出現常見的安全性漏洞


[0]: https://www.owasp.org/index.php/Main_Page
[1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf


--