OWASP TOP 10 合集

一、OWASP 大语言模型应用程序十大风险

近日，OWASP发布了Top 10 for Large Language Model Applications项目，旨在教育开发人员、设计师、架构师、经理和组织了解部署和管理大语言模型LLM时的潜在安全风险。

二、OWASP CI/CD 十大风险

CI/CD环境、流程和系统是现代软件组织的重要组成部分。它们将开发人员工作站的源代码上传到软件产品代码库。随着DevOps和微服务架构的兴起，CI/CD系统和流程已重塑软件工程生态系统。它们也同时重塑了攻击面，为攻击者提供了大量的新途径和新机会来获取组织的核心资产。

下面列出了前 10 大 CI/CD 安全风险。所有风险遵循一致的结构 -

定义Definition-风险性质的简明定义。

描述Description-对背景和攻击动机的详细解释。

影响Impact-详细说明风险的实现可能对组织产生的潜在影响。

建议Recommendations-一组用于优化组织CI/CD安全风险态势的控制措施与建议。

参考资料References-现实中利用相关风险的示例和先例列表。

     风险列表：

     CICD-SEC-1不足的流程控制机制

     CICD-SEC-2不当的身份识别和访问管理

     CICD-SEC-3依赖链滥用

     CICD-SEC-4管道投毒执行

     CICD-SEC-5基于流水线的访问控制不足

     CICD-SEC-6凭据清理不足

     CICD-SEC-7不安全的系统配置

CICD-SEC-8第三方服务的不受控使用

CICD-SEC-9不正确的工件完整性验证

CICD-SEC-10日志记录和可见性不足

参考：

owasp.org/www-project-top-10-ci-cd-security-risks

三、OWASP低代码十大安全风险

随着低代码/无代码开发平台激增以及被企业广泛使用，产业界提出了一个明确而紧迫的需求，即建立依赖此类平台开发的应用程序相关的安全和隐私风险意识。“OWASP Top 10 Low-Code/No-Code Security Risks”(简称OWASP低代码十大安全风险)是为希望采用和开发低代码（可视化少量代码开发）、无代码（可视化无需编程开发）应用程序的企业提供帮助和指导。

以下是10大安全风险清单：

LCNC-SEC-01：身份冒充
LCNC-SEC-02：授权滥用
LCNC-SEC-03：数据泄漏和意外后果
LCNC-SEC-04：身份验证和安全通信失效
LCNC-SEC-05：安全配置错误
LCNC-SEC-06：注入处理失效
LCNC-SEC-07：脆弱和不可信的组件
LCNC-SEC-08：数据和密钥处理失效
LCNC-SEC-09：资产管理失效
LCNC-SEC-10：安全日志记录和监控失效

参考：

https://owasp.org/www-project-top-10-low-code-no-code-security-risks/

四、OWASP容器安全十大风险

OWASP容器安全十大风险（OWASP Docker Top 10 ）项目主要希望为开发人员、审计人员、安全人员以及云运营商等相关机构提供了用来规划和实施基于Docker的安全容器环境。这10点按相关性排序，它们不是将风险表示为 OWASP Top 10 中的每个单点，而是表示安全控制。控制范围从基线安全到更高级的控制，具体取决于实际的安全要求。

以下是十大风险清单：

01 用户映射安全

Secure User Mapping

02 补丁管理策略

Patch Management Strategy

03 网络分段和防火墙

Network Segmentation and Firewalling

04 安全默认值和加固

Secure Defaults and Hardening

05 维护上下文安全

Maintain Security Contexts

06 机密数据保护

Protect Secrets

07 资源保护

Resou rce Protection

08 容器镜像完整性和可信发布者

Container Image Integrity and Origin

09 不可变的范式

Follow Immutable Paradigm

10 日志

Logging

参考：

https://owasp.org/www-project-docker-top-10/

五、OWASP十大隐私风险

OWASP十大隐私风险项目（OWASP Top10 Privacy Countermeasures v1.0）提供了Web应用程序中的隐私风险和相关对策的前十名。它涵盖了关注现实生活风险的技术和组织方面，而不仅仅是法律问题。

以下是 10大安全风险列表

六、OWASP 区块链安全 TOP 10 2019

近几年，区块链技术的发展非常迅猛，安全形势也越来越严峻，仅安全事件导致的直接经济损失就高达35亿美元，很多公司甚至因此倒闭，给行业带来了巨额的经济损失和惨痛的教训。基于此，OWASP中国成立专门研究小组，收集、整理和分析了2011年至2019年间共160个典型区块链安全事件，并在本文档中给出了排列，并从“风险描述”、 “危害描述”、“实际案例”、“修复方案”四个方面介绍分析区块链安全10大风险，希望能帮助到广大的区块链从业者和关注区块链安全的人们。

以下是区块链安全10大风险清单：

一、高级可持续威胁

二、失控的币值通胀

三、失效的权限控制

四、不安全的共识协议

五、考虑不充分的程序逻辑

六、不严谨的业务策略

七、校验不严格的交易逻辑

八、脆弱的随机数机制

九、存在缺陷的激励机制

十、日志记录和监控不足

参考：http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10

七、2023  OWASP API TOP 10

OWASP API 安全项目旨在解决越来越多的组织将潜在敏感 API 作为其软件产品的一部分进行部署的问题，这些 API 通常用于内部任务和与第三方的接口。不幸的是，许多 API 没有经过严格的安全测试。OWASP API 安全项目通过强调不安全 API 中的潜在风险，并说明如何减轻这些风险，为软件开发人员和安全评估人员提供价值。为了实现这一目标，OWASP API安全项目创建了一份 10 大 API 安全风险文名单。

以下是 API安全风险名单：

API 1：中断的对象级授权

API 倾向于暴露处理对象标识符的端点，从而创造出对象级访问控制问题的广泛攻击面。因此在使用用户 ID 访问数据源的每个函数中，应当考虑执行对象级授权检查。

API 2：无效的身份认证

身份验证机制通常实施不正确，允许攻击者破坏身份验证令牌或利用实现缺陷暂时或永久假定其他用户的身份，损害系统识别客户端/用户的能力，会损害整体 API 安全性。

API 3：失效的对象属性级授权

此类别结合了 API 3:2019-过度的数据泄露和 API 6:2019-批量分配，关注的根本原因是对象属性级缺乏授权验证或验证不当，从而导致信息泄露或越权访操纵。

API 4：不受限制的资源消耗

满足  API 请求需要网络带宽、CPU、内存和存储等资源。其它资源如邮件/SMS/电话通话或生物特征验证由服务提供商通过 API 集成提供并按照请求进行支付，如果攻击成功可导致拒绝服务后果或运营成本上升。

API 5：无效的功能级授权

具有不同层次结构、组和角色的复杂访问控制策略，以及管理功能和常规功能之间的不明确分离，往往会导致授权缺陷。通过利用这些问题，攻击者可以访问其他用户的资源和/或管理功能。

API 6：对敏感业务流程的无限制访问

易受到此风险影响的 API 会暴露业务流（例如买票或发布评论），而不会弥补如果以自动化方式过度使用，该功能如何对业务造成损害，这一风险不一定源自实现问题。

API 7：服务器端请求伪造

当 API  在没有验证用户所提供 URI 的情况下提取远程资源时，可能就会引发服务器端请求伪造   (SSRF) 缺陷，这可以可使攻击者诱骗应用程序将构造的请求发送给未预期目的地，甚至即使受到了防火墙或 VPN 的保护也是如此。

API 8：安全配置错误

API 和支持它们的系统通常包含复杂的配置，旨在使 API 更具可定制性。软件和 DevOps 工程师可能会错过这些配置或者在配置时不遵循安全最佳实践，从而为不同类型的攻击打开了大门。

API 9：清单管理不当

与传统的 Web 应用程序相比，API 往往会公开更多的端点，因此正确和更新的文档非常重要。主机和已部署 API 版本的适当清单对于缓解已弃用的 API 版本和公开的调试终结点等问题也很重要。

API 10：不安全的 API 消耗

开发人员偏向于信任从第三方 API 接收的数据而不是用户输入的数据，因此倾向于采用较弱的安全标准。为了破坏 API，攻击者会攻击集成的第三方服务，而不是试图直接破坏目标 API。

参考：

https://owasp.org/API-Security/editions/2023/en/0x11-t10/

原文始发于微信公众号（IRTeam工业安全）：OWASP TOP 10 合集