盘点OWASP Top 10中的三个新风险类别

2021版的OWASP Top 10中新增了3个新的风险类别，分别是：不安全的设计、软件和数据完整性故障，以及服务器端请求伪造。安全团队在防范应用程序安全风险时需要重视这些新的风险类别。

不安全的设计重点关注的是设计缺陷的风险。尽管该新增类别排在Top 10中的第4位，但毫无疑问，它是 OWASP Top 10中影响范围最广的，涉及了这些类别中的所有因素。它代表了 OWASP（开放式Web应用程序安全项目）的大胆尝试，因为OWASP传统上更加关注应用程序“下游”的安全性。

OWASP 建议，如果要在安全性方面取得突破，不仅需要在应用程序代码方面实现安全左移，还需要在规划和设计阶段进行安全防护。企业需要更早地在应用程序的设计阶段加固安全性，这是对软件行业传统运作方式的重大改变。

实现安全设计，将最大限度地减少Top 10列表中排名靠前的安全风险类别。这将是增强应用程序安全性的必要任务。

2021版OWASP Top 10中的另一个新增的关键类别是软件和数据完整性故障。该类别与不安全的设计密切相关，突出了不安全的代码和基础设施相关的问题，这些代码和基础设施无法充分防止完整性故障。例如，使用来自未经检查或验证来源的受损插件、库或模块，诸如Log4j漏洞。尽管用户可能已经采取了许多其他安全防范措施，但仍可能会留下严重的安全漏洞。

有数据表明，软件和数据完整性故障已经成为一个日益严重的威胁，可能是与软件开发中 CI/CD（持续集成/持续交付）的增加有关。虽然 CI/CD 是加速软件和服务交付的一种很好的机制，但对速度的盲目追求往往会导致代码或组件未经充分验证，从而带来相关的未经授权的访问、恶意代码或系统漏洞等严重安全问题。

用户能够采取哪些措施来减轻这些风险？

确保软件（包括其中使用的库）来自受信任的存储库并且是安全的，数字签名可以确保代码中没有被植入恶意代码。此外，OWASP 建议用户使用软件供应链安全工具来检查所有组件是否存在已知漏洞。

尽管请求伪造并非新的攻击方式，但服务器端请求伪造仍被视为严重的安全威胁。OWASP 调查结果显示，这是安全专业人员最担心的问题。有数据预测，随着现代 Web 应用程序代表用户对外部数据进行更多调用，SSRF攻击将会大大增加。

由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。SSRF 允许攻击者从易受攻击的应用程序的后端服务器发送精心设计的请求，从而导致攻击者可以侵入从外网无法访问的内部系统。

在缓解方面，用户需要尽量减少应用程序可以发出的请求的类型、范围和数量，并配合其他缓解技术。

例如，在网络层：

• 使用防火墙限制主机连接，即默认强制拒绝；

• 设置白名单通信，阻止除基本请求之外的所有其他请求；

• 启用主机之间的身份验证，并为所有内部主机通信设置该功能；

• 记录所有流量并进行监控和审计，包括哪些主机需要通信、什么内容以及何时通信。

在应用层：

• 为应用程序定义和执行严格的 URL 协议；

• 禁用 HTTP 重定向以防止绕过白名单；

• 清理和验证所有客户端输入数据，或使用 WAF；

• 在将响应发送给客户端之前，始终验证响应是否符合安全策略。