hihitmedia 您好，歡迎光臨。站長阿威是3C資訊迷，我時常會關注一些資訊相關的知識或新聞，這個地方是阿威分享自己心得的小天地，如果你喜歡阿威寫的文章或是想跟阿威些什麼，歡迎留言或分享喔。

0愛的鼓勵 0訂閱站台

OWASP是致力於 Web 應用程式安全性的國際非營利組織，該組織的核心原則是他們的所有資料都免費提供並且可以在其網站上輕鬆存取，這使得任何人都能夠改善自己的 Web 應用程式安全性。因此，該組織的所有關於網站安全的影像、圖片簡介、說明文件都會放在網路上給人瀏覽，藉此普及資訊安全的概念。其中，最引人注目的文件就是「OWASP TOP 10」安全風險。以下就來介紹什麼是「OWASP TOP 10」安全風險?

一、什麼是「OWASP TOP 10」安全風險?

「OWASP TOP 10」安全風險是OWASP組織提出的十大網路應用程式安全風險指標，他是常見的10種網路應用程式風險，並按照其嚴重性和頻率進行排名。它發表的目的是提高企業和開發者對網路應用程式安全問題的警覺，並提供一些防範和解決的方案，以減少網路應用程式安全被鑽漏洞情況發生。

 

這份文件會隨著時間做出改變，以此隨時更新資訊安全的相關攻擊手法。由於這樣的特性，促使這份文件成為網站應用程式開發不可缺手的參考依據。目前來看，最新的「OWASP TOP 10」安全風險分為10個指標，開發者可以依據這10個指標規劃資訊安全的防範手段。

 

二、「OWASP TOP 10」安全風險有哪些呢?

1.權限控制失效(Broken Access Control)

這個部分是指應用程式在身份驗證、授權和Session管理等方面出現不當配置或實作，導致攻擊者能夠訪問未經授權的資源或執行未經授權的操作。

2.加密機制失效(Cryptographic Failures)

這個是指應用程式中所使用的加密方式或加密實作出現錯誤，導致加密過程的失敗，最終可能會使攻擊者能夠以某種方式讀取或修改敏感資訊，或者是讓攻擊者能夠對系統進行未授權的操作。

3.注入式攻擊(Injection)

應用程式中，未對使用者輸入的資料進行充分驗證或過濾，導致攻擊者能夠向應用程式的執行環境中插入並執行惡意指令或程式碼。這個問題主要是工程師沒有正確地對使用者輸入的資料進行驗證、過濾或轉義，或是使用了不安全的程式庫或方法所導致。

4.不安全的設計(Insecure Design)

這是軟體設計上有缺陷，導致系統無法有效地防禦攻擊。這些缺陷可能包括不當的系統架構、不完善的安全模型、安全風險分析不充分、權限管理不當等，進而造成系統易受到各種攻擊。

5.不安全的設定配置(Security Misconfiguration)

這個問題主要是因為應用程式和系統的未經適當配置、更新、保護和監控，使其容易受到攻擊和入侵。攻擊者會利用這些設定上的漏洞，取得未授權的存取權限，並竊取敏感資料或者破壞系統。

6.易受攻擊和過時元件(Vulnerable and Outdated Components)

應用程式中使用的外部組件、資料庫、框架等元件存在安全漏洞或已經過時，攻擊者可以利用這些漏洞對應用程式進行攻擊。

7.身分認證、驗證失效(Identification and Authentication Failures)

這個問題主要是軟體無法適當地識別和驗證使用者的身分，這種漏洞可能發生於帳號密碼管理不當、session管理不當、未能保護身分識別憑證、身分識別管理不當等。

8.軟體和資料完整性錯誤(Software and Data Integrity Failures)

這部分的問題在應用程式中，未能防止恶意的修改、刪除或篡改資料或軟體。這可能會導致應用程式運行失常，或是開啟了不當的訪問權限，進而造成機密性和可用性的風險。

9.資安記錄和監控失效(Security Logging and Monitoring Failures)

網站或應用程式缺乏有效的安全監控機制，無法將所有安全事件、錯誤、攻擊等記錄下來並及時做出相應的反應。若網站缺乏相關的監控機制，可能會導致被攻擊後且未能發現。

10.伺服器端請求偽造SSRF(Server-Side Request Forgery)

應用程式未能適當限制外部用戶端所提交的請求，或者未能適當驗證應用程式所收到的請求時，攻擊者可以利用這個漏洞向受害系統發出任意請求。

 

綜合以上所述，OWASP組織所提供的資訊安全指標，對於網站應用程式的開發有極大的助益，特別是對於資訊安全而言，可以有效防範不肖人士的非法行為。