Опубликован OWASP Top 10 2010 (RC1)

OWASP, открытый проект безопасности приложений, накануне представил для обсуждения новую версию списка десяти самых опасных угроз. В сравнении с OWASP Top 10 2007 изменениям подверглись четыре позиции. Меня удивило, что инклуд-баг Malicious File Execution был исключен из списка якобы в силу того, что PHP стал более безопасным по умолчанию. Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include). Возможно к 2010 бажных версий PHP будет намного меньше, но, несмотря на это, косячить в коде будут всегда. А может обнаружатся еще какие-нибудь новые уязвимости 🙂

Итак, сама десятка самых опасных угроз:

  1. A1 Injection (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
  2. A2 Cross Site Scripting (не потерявший актуальности XSS)
  3. A3 Broken Authentication and Session Management (ошибки в архитектуре аутентификации и управления сессиями)
  4. A4 Insecure Direct Object References (незащищенные ресурсы и объекты, можно вспомнить случай с SVN)
  5. A5 Cross Site Request Forgery (CSRF)
  6. A6 Security Misconfiguration (небезопасная конфигурация окружения, различных фреймворков, платформы)
  7. A7 Failure to Restrict URL Access (несанкционированный доступ к функционалу, требующему особых привилегий – например обход проверки c помощью двойного слэша “//” в URL для получения доступа к управлению блогом в WordPress)
  8. A8 Unvalidated Redirects and Forwards (открытые редиректы, которые ведут к фишингу, HTTP Response Splitting и XSS)
  9. A9 Insecure Cryptographic Storage (небезопасное хранение важных данных)
  10. A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS).

Надеюсь, это неокончательная версия Top 10, ждем следующий релиз-кандидат.


9 comments:

  1. L0rda, 15. November 2009, 20:46

    >> Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include)

    поясните пожалуйста по-подробнее, если не сложно

     
  2. Raz0r, 15. November 2009, 21:21

    Я имел в виду, что, если раньше успех при lfi во многом зависел от местоположения логов, то теперь знать точно, где они находятся, в большинстве случаев необязательно (/proc/self/fd/…). Плюс к этому инклуд сессий, аваторов, логов webalizer и т.д., также альтернатива нулл-байту. В конкретно взятом случае есть масса вариантов выжать из lfi по-максимуму.

     
  3. stalker37, 15. November 2009, 21:32

    Raz0r, спасибо за интересный пост! Я вот только не понял насчет двойного слеша и WordPress’a – что это такое (в поиске не нашел)?

     
  4. Raz0r, 15. November 2009, 22:00

    Информация об этой уязвимости проскакивала не только в багтреках, но и в новостях с заголовками “Массовые взломы блогов на wordpress”. Разработчики несколько раз выпускали патчи, и в последних версиях wp эту уязвимость наконец-то удалось нейтрализовать. Но до сих пор в публичном доступе нет ни единого рабочего эксплоита, так как остаются подверженными множество блогов. А в чем корень уязвимости можно понять по коммитам на core.trac.wordpress.org

     
  5. stalker37, 15. November 2009, 22:01

    Raz0r, спасибо, понял теперь про что это.

     
  6. Pento, 16. November 2009, 0:02

    Хммм, про RFI – действительно странное решение.

     
  7. M4g, 16. November 2009, 23:28

    Raz0r, ты помнишь? Про вп потише =\

     
  8. Raz0r, 17. November 2009, 11:47

    ок, я молчок 🙂

     
  9. Anonymous, 26. May 2010, 15:16

    1 UNI/**/ON SELECT ALL FROM WHERE

     

Write a comment: