Опубликован OWASP Top 10 2010 (RC1)

OWASP, открытый проект безопасности приложений, накануне представил для обсуждения новую версию списка десяти самых опасных угроз. В сравнении с OWASP Top 10 2007 изменениям подверглись четыре позиции. Меня удивило, что инклуд-баг Malicious File Execution был исключен из списка якобы в силу того, что PHP стал более безопасным по умолчанию. Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include). Возможно к 2010 бажных версий PHP будет намного меньше, но, несмотря на это, косячить в коде будут всегда. А может обнаружатся еще какие-нибудь новые уязвимости 🙂

Итак, сама десятка самых опасных угроз:

  1. A1 Injection (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
  2. A2 Cross Site Scripting (не потерявший актуальности XSS)
  3. A3 Broken Authentication and Session Management (ошибки в архитектуре аутентификации и управления сессиями)
  4. A4 Insecure Direct Object References (незащищенные ресурсы и объекты, можно вспомнить случай с SVN)
  5. A5 Cross Site Request Forgery (CSRF)
  6. A6 Security Misconfiguration (небезопасная конфигурация окружения, различных фреймворков, платформы)
  7. A7 Failure to Restrict URL Access (несанкционированный доступ к функционалу, требующему особых привилегий — например обход проверки c помощью двойного слэша «//» в URL для получения доступа к управлению блогом в WordPress)
  8. A8 Unvalidated Redirects and Forwards (открытые редиректы, которые ведут к фишингу, HTTP Response Splitting и XSS)
  9. A9 Insecure Cryptographic Storage (небезопасное хранение важных данных)
  10. A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS).

Надеюсь, это неокончательная версия Top 10, ждем следующий релиз-кандидат.


9 комментариев

  1. L0rda, 15. ноября 2009, 20:46

    >> Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include)

    поясните пожалуйста по-подробнее, если не сложно

     
  2. Raz0r, 15. ноября 2009, 21:21

    Я имел в виду, что, если раньше успех при lfi во многом зависел от местоположения логов, то теперь знать точно, где они находятся, в большинстве случаев необязательно (/proc/self/fd/…). Плюс к этому инклуд сессий, аваторов, логов webalizer и т.д., также альтернатива нулл-байту. В конкретно взятом случае есть масса вариантов выжать из lfi по-максимуму.

     
  3. stalker37, 15. ноября 2009, 21:32

    Raz0r, спасибо за интересный пост! Я вот только не понял насчет двойного слеша и WordPress’a — что это такое (в поиске не нашел)?

     
  4. Raz0r, 15. ноября 2009, 22:00

    Информация об этой уязвимости проскакивала не только в багтреках, но и в новостях с заголовками «Массовые взломы блогов на wordpress». Разработчики несколько раз выпускали патчи, и в последних версиях wp эту уязвимость наконец-то удалось нейтрализовать. Но до сих пор в публичном доступе нет ни единого рабочего эксплоита, так как остаются подверженными множество блогов. А в чем корень уязвимости можно понять по коммитам на core.trac.wordpress.org

     
  5. stalker37, 15. ноября 2009, 22:01

    Raz0r, спасибо, понял теперь про что это.

     
  6. Pento, 16. ноября 2009, 0:02

    Хммм, про RFI — действительно странное решение.

     
  7. M4g, 16. ноября 2009, 23:28

    Raz0r, ты помнишь? Про вп потише =\

     
  8. Raz0r, 17. ноября 2009, 11:47

    ок, я молчок 🙂

     
  9. Аноним, 26. мая 2010, 15:16

    1 UNI/**/ON SELECT ALL FROM WHERE

     

Write a comment: