诸君所闻近五载之重大泄密案?
其必列于此单。
OWASP十大风险,数载一更。非空谈也,乃实境中生产系统最频遭利用之弱点榜,属真工队、真财赋之企业。
此乃十者悉矣。犹有收据在焉.
#1 — 损坏访问控制
犹居首位。自二零二一年以来,未尝易位.
此乃汝之服务器信客户端所言之数据,而不验其人是否实有之故.
此攻之术,近乎可笑之简。汝改URL或请求数据中之数。 user_id=1001遂成user_id=1002。 服务器所返,非己之数据也。非为破解,惟计而已。
。 现实中:。 二零二二年,澳大利亚洲第二大电信公司Optus(Optus),因未经验证的API端点,泄露近千万客户记录。无需认证。汝但知URL所在即可。及至其关闭之日,攻击者已大规模枚举并下载记录矣。
宜以每请之授权验于服务器,行SAST、DAST,及常法之渗透测试以弭之.
#2 — 安之失配
汝之应用码或可至善,然其基构犹或负汝也。
此问题几近总为基建之患,非代码之弊也。公域S3桶。默置之凭据未易。冗余报错显堆栈踪于终用者。调试端点存于生产。
尘寰 二零二三年,PwC Nigeria之护照与个人住址,营训参与者之信息,因S3桶配置之误而泄露。同年,Capita——英国政府之主要外包公司——之市议会议员数据,亦以同法曝光。非因有人破译,实因有人误点权限之设。
Datadog 言,迨至二四,凡 AWS S3 之桶,有效为公者,十有四万八千。此数虽微,然知其量,乃数百亿之 S3 对象也。
宜以:IaC 扫描,CSPM 工具,及审云权限之策,岁数度行之,庶几可弭。
#3 — 软件 & 供应链之败
此物已嬗变。昔称"陈旧组件"。二二五年之版,尤可怖惧。
非惟忘补丁之失,乃信软件非己所撰,不可稽核,未达其理——因其为开源,或出VS Code之延展,或为六层深藏于包树之暂存依存。
世事: 岁在甲辰,三月,有开发者名"贾潭"者,默然两年,襄助XZ Utils开源压缩库,忽于5.6.0及5.6.1版中植恶门。其CVSS评分为十,十也。所攻者,Linux系统之OpenSSH认证也。幸得察,盖微软工程师于预发布之Debian构建中见性能骤降,非为规程所察,乃天幸耳。
庚子年之SolarWinds之攻,及十八千有奇之组织——包括美利坚政府诸部门——于受侵之软件构建之管。攻者潜入月余,人始觉之。
御之者:SCA之器,依存审计,固定包版,签认CI/CD之管。
#4 — 密码之失
用密不足。用宜法 之加密乃实然之需也。
MD5非加密也。SHA-1无盐化非保护也。以明文存敏感数据,因其为内部数据库,此乃一人将自悔其行之决也。
世间实况: 嘉定壬辰年,领英遭窃。六百五十万密码哈希遭泄露。彼辈所用,乃无盐之SHA-1。破译者几时即破其六十余万。是窃之全貌,至丙申年方昭——一亿一千七百万户。密码之可读,盖因其下之密码选择,乃出诸未料数据库将泄之人。
今之安全研究者,于时之器,可每秒算得二十亿之MD5哈希。彼所谓“加密”之库,实未加密,乃待客之室耳。
宜以bcrypt、scrypt、Argon2御密码。凡处皆用TLS。施SAST以察弱法之用。
#5 — 注入
此患自OWASP之始即列,今犹频现。
此理似简而诈:用户所入,若为可执行之码。SQL注入。命令注入。LDAP注入。应用信其数据,数据库懵懂无知,今则攻击者得在尔之生产数据库上任意发问矣。
世间实况: 二零二三年五月,Cl0p勒索软件集团,窃用MOVEit传输——企业通用文件传输之器——零日SQL注入之隙。CVE-2023-34362。自二零二一年,彼辈已试此隙。及至终发,数日间,击中千余组织。亚马逊确认,二百余万员工之数据已泄。BBC、英国航空及美利坚多政府机关,皆在受害者之列。
凡此种种,皆因未经验之输入直抵数据库查询,未加净化。
宜以备述之语句、参数化之查询、输入之逃逸、及SAST/DAST之扫描以缓解之。
#6 — 设计不谨
此乃令人不适者。
此列余九弊,皆施行之失也。此独思虑之过。系统之构,未及一行代码,其理已谬。
不可仅以补丁去不安全之设。必返其架构始得。
世事: 二零二二年九月,一十八岁之黑客,未施精妙之技,而入 Uber 内部系统——其 Slack、AWS、Google Workspace 皆在其内。彼于网市购得承包商盗来之凭据,复以 MFA 推送通知频轰其手机。三十分钟内,凡四十次。承包商疲极,许之一次。攻击者遂假 Uber IT 支持之名,于 WhatsApp 中作伪,以释其事。入内,得 PowerShell 脚本,其中硬编码管理员凭据。
无 SQL 注入。无零日漏洞。设计之初,以为多因素认证推送通知已足,且人疲之态,永不为攻伐之隙.
当以:威胁建模(STRIDE),安全设计之审,视人为攻伐之域,非临事之思.
#7 — 认证之失
以旧凭充新。预设密码。会话管理有失。此皆存于此处。
弊病之由,非在认证之难行,而在众团自设认证,不采信可托之供,及至后知所遗之境况实繁。
世情实况: 二零二三年T-Mobile之失,溯其根源,乃API端点未验请求者与所询账户是否相符。更易账户标识,窃他人之数据。认证有之,授权无之。此别甚巨,关系非浅。
默认凭证,犹为攻破企业架构最可靠之途。非因组织不知其弊,实因无人查核。
宜以久经沙场之身份提供者,如Okta或Auth0,于登录端点施以速率限制,以多因素认证匹配数字(非仅推送批准),并立账户锁定之策.
#8 — 软件&数据完整失守
尔信软件更新与构建流水,而未尝验之.
此乃汝之CI/CD管路引取未验之源,部署之脚本不验其和,更新之机制不辨其章。
世间实况: 太阳风之袭,乃典范之例。攻者以 SUNBURST 恶意软件,注入奥瑞恩之正更新途。此更新,署以太阳风之真证书。诸组织信其商,遂安装之。此信,遂成其器。
甲辰之六月,Polyfill.io者,JavaScript之CDN也,为华人所购。购之既,即注恶码于数千万网站所载之脚本。凡不验其全,而载其码者,皆成 malware 之散布点,而网主未尝有所为也。
当以加密签名之构建与物产,验其完整于部署之流,严审第三方CDN之倚赖.
#9 — 记录与监测失败
此乃无声之杀手.
破绽已现,寇已入内。然无人知之——盖因无人观之。
乙未之岁,Equifax之患,诚为典例。Apache Struts之CVE-2017-5638,三月而发。补丁亦三月可得。然Equifax未施之。五月十三日,攻者得入。至七月廿九日方觉其隙——逾七十八日矣。其日志之制,支离破碎。警报纷至,而分析师疲于奔命。无中枢SIEM以联异动。三百余张安全监控之证,已过期,尤有者,监核心域者亦在焉。一亿四千七百万人之数据,尽落敌手。
此隙使彼得入。此记之失使彼得留。
当以集中记之、实时警异态、经试应变之策,尤要者——实审尔警也。
#10 — 处变之失
尔应用得非所设之输入,其事何如?
众开发者多谋其顺境。攻者则专察输入之纷乱、畸缪、过巨、虚空、结构之乖讹。若此等情形致应用崩坏、漏泄机密、行止无常,则此常可乘以为利。
缓冲溢出。整数溢出。未捕获之例外显堆栈踪迹。凡此种种,皆属此类。
以模糊测试之法御之——此乃自动之器,投以意外、畸形、无序之输入于系统,俾先于敌手察其败状.
十者之象,一也.
遍览此等,一事昭然。
此等泄密,非皆精巧。非国手黑客,以奇术零日为之。乃SQL注入,纵而不顾。S3桶,权限有误。密码,以一九九五年算法散列。日志,无人观之。
所不便者,此等泄密,非因安全之难,实因视安全为他者之事。
非也。
安者,制之学也。宜入宫室之议,宜入代码之评,宜入所恃之检,宜入应变之习。器如SAST、DAST、SCA者,可处繁杂之察。然器不能治未设之构,不能后补之盐于密码之散,不能令众忽警而读之。
自二零零三年起,OWASP Top 10 之列已成定例。其类目屡现,诸公司时易,然隐患则否。
此中当有所示。
诸此之中,尔团最易疏漏者何?留言于下。