新版OWASP十大网站安全风险排名出炉，微服务风潮带来三大新安全风险

政府和资安业者都会关注OWASP（The Open Web Application Security Project ，开放网站应用程序安全专案）归纳出的十大网络资安风险（OWASP Top 10），原本今年四月推出一套Top 10风险候选版，但遭社群推翻，并于九月重新征询社群意见后，于11月20日推出2017年OWASP Top 10正式版。

OWASP台湾分会研发长胡辰澔表示，实际调查来自会员贡献的10万笔应用程序Log登录档和API的资料集，再经过社群讨论后，才产生新版的Top10排名。

OWASP纳入社群的资安风险建议，更符合现实威胁实况

OWASP这个全球非营利组织拥有四万名的志工，针对各种网页安全漏洞提出观察和建议。最早在2003年12月公布了第一版OWASP Top 10，到了2004年和2007年也推出改版，直到2010年，OWASP首度从风险角度出发，来归纳出严重的网络威胁前十名，这个作法也持续迄今。

而在今年公布的新版本又有新作法，不仅有超过40个企业组织自愿贡献应用程序的登录档提供资安漏洞分析，更有超过五百人的专家社群回馈观察到的风险，胡辰澔表示，首度将社群观察的资安风险纳入名单中，也更符合现阶段网络世界所面临的网页风险。

三项入围的全新漏洞，和微服务兴起有关

新版OWASP Top 10有3个全新的资安风险，包括：针对各平台常见的XML外部处理器漏洞（XML External Entity,XXE）、针对Java、PHP或Node.js等平台常见的不安全的反序列化漏洞（Insecure Deserialization），以及“纪录与监控不足风险”（Insufficient Logging & Monitoring）。他指出，XML外部处理器漏洞就是实际调查会员提供的Log和API后，才统计归纳出来的风险类型，而不安全的反序列化攻击以及纪录与监控不足风险则是社群回馈看到的风险类型。

胡辰澔认为，这三个新入围的资安风险和越来越多微服务的兴起有关系，在强调快速提供服务的过程中，有许多需要严谨资安验证和授权的程序，都因此被忽略才会造成类似敏感资料外泄的结果。

首先，这次新入围的XML外部处理器漏洞，就是因为在处理很多XML语法时，没有做好相关权限保护而造成机敏资料外泄的风险。

胡辰澔指出，许多以XML为基础的应用程序或网络服务，没有管控权限，直接接受XML语法的请求（Request）或上传（Upload），此时，只要插入一个恶意XML文件，就能锁定XML处理器漏洞攻击，而有资料外泄的风险。

目前，以XML编码的SOAP（Simple Object Access Protocol，简单物件存取协定）讯息，是可被第三方用来简化网页服务器讯息传递的标准化格式，但胡辰澔说：“因为SOAP 1.2版之前的XML编码没有写好，所以，只要使用SOAP 1.2版的讯息交换格式，预设都有XML外部处理器漏洞（XXE）的风险，这也意味着这样的Web服务，容易遭受到DoS（阻断式服务）攻击。”

其次，不安全的反序列化漏洞主要是锁定Java平台、PHP或是Node.js等平台常见的攻击方式，除了会导致远端程式码执行（RCE）外，也可能成为骇客发动攻击的工具，例如重播攻击（Relay Attacks）、注入攻击（ Injection Attacks）以及特权升级攻击（Privilege Escalation Attacks）等。

胡辰澔也说，在今年九月爆发的美国消费者信用报告业者Equifax有高达1.43亿笔个资外泄，最主要的原因包括该公司的网站有：XML外部处理器漏洞和不安全的反序列化漏洞所带来敏感资料外泄的风险。

最后一项全新入围前十大的资安风险则是纪录与监控不足风险，胡辰澔表示，因为有越来越多需要快速提供的微服务，就没有针对应用程序作登录档的监控，因为纪录和监控不足，一旦爆发资安事件就无法立即处理解决，也让骇客有机会进一步攻击系统，或窜改、存取或销毁系统的资料。根据多数外泄资料的研究显示，通常要超过二百天以上，使用者才可能察觉到有资料外泄事件发生，而这样的资料外泄，通常也都不是透过内部的监控系统发现，往往是从外部才会发现到资料外泄的事实。

注入攻击和无效的身份认证，新版仍是一、二名

分析OWASP Top 10的名单，2017年排名第一名的注入攻击（Injection）也是2013年版的第一名，但这不只是传统大家认知道的SQL Injection（隐码攻击），包括所有的SQL、NoSQL、操作系统以及LDAP的注入攻击，通常会发生在恶意的程式语法在输入时，没有经过妥善的检查和验证所造成的资安风险。

第二名就是无效身份认证（Broken Authentication），许多应用程序经常需要处理身份认证及Session管理，但导入方式若不正确，反而可能会让骇客取得密码、金钥、Session令牌，或者是利用其他导入时的错误疏失，暂时或永久取得使用者的身份资讯。

至于第三名的敏感资料外泄（Sensitive Data Exposure），主要是因为不少网络应用程序对于金融资讯、健康资料及个人资料的保护不足，若遭当骇客取得，就可以进行信用卡诈欺、身份窃取或是其他的犯罪行为等。因此，针对敏感性资料去需要做额外的保护措施，例如不使用或传送时的资料必须加密，或者是浏览器浏览时，也必须要特别注意。

在2013年版排名中有两个容易混淆的风险项目，是Insecure Direct Object References 和 Missing Function Level Access Control，因此，在这次新版排名中，就合并成第五名的“无效的存取控管”（Broken Access Control），希望借由严格的存取控管，降低骇客利用这些漏洞去存取没有经过授权的功能或察看敏感资料、修改使用者数据、更改访问权限等。

第六名则是强调设定必须注意安全的“不安全的组态设定”（Security Misconfiguration），经常是使用不安全的预设值，或者是错误配置像是HTTP标头或者是系统显示的错误资讯已经包含敏感性个资所造成的，除了要安全设定所有操作系统、框架、函示库以及应用程序外，更必须做到系统更新与升级，以确保系统安全与时并进。

第七名是常见的跨站攻击(Cross-Site Scripting ,XSS），主要就是发生在，当应用程序缺乏适当的验证，如允许网页可出现不可信任的资讯时，或者是允许在使用者浏览器中执行脚本程式，恐导致有心人士劫持使用者Session、网页置换或者是转址到其他恶意网站等。

胡辰澔表示，XSS风险排名可以从2013年排名第三名降到2017年第七名，主要跟很多自动化的扫描工具，都已经内建可以扫XSS的风险，也加快相关的漏洞修补速度，使得整体XSS漏洞数量看起来比以往少，但“风险”却没有因此减少。

第九名就是使用已有漏洞的元件（Using Components with Known Vulnerabilities），这些元件包括函示库、框架以及其他的软件模组，而元件会和应用程序以相同的权限执行。如果有一个容易受到攻击的元件被骇客利用，就可能会导致严重的资料仪式或者服务器被骇客接收，而使用有漏洞元件的应用程序或者是API，都会破坏应用程序的防护并启用各种攻击形式，这也意味着，许多开发者在洗用套件、框架的习惯不好，除了会带来严重的资料遗失外，也表示用这个框架的人，并没有即时升级或更新到最新版。

旧版风险排名仍有参考性

由于台湾有许多资安检测都会将OWAPS Top 10的风险列为必检查的项目之一，不过，胡辰澔提醒，这十大风险其实是一种风险框架，会因应技术发展而持续变动，若企业和组织将这10项视为内部唯一要解决的资安风险议题，或直接作为稽核或法遵的检核表的检查项目，甚至是，作为内部执行渗透测试时要解决的资安风险时，反而，会让企业资安风险的因应范围，限缩到这十个层面，“但，这不是OWASP Top 10期待的目的。”他说。

举例而言，像是2013年十大资安风险，就算今年没入榜，也仍是企业必须关注的风险，如2013年排名第八名的伪造跨站请求（Cross-Site Request Forgery，CSRF），就算许多开发框架多已内建CSRF风险防御机制，今年也没有进入前十大风险而名列第十三名，但胡辰澔表示，这依旧是不可掉以轻心的重要风险之一。