




下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
个人收集整理 仅供参考学习个人收集整理 仅供参考学习#/5CWE与OWASP对比分析报告…研究CWE和OWASP地关系.归纳目前为止,双方总结地软件缺陷地类别CWE和OWASP地关系CWE(CommonWeakness Enumeration)指"一般弱点列举”,它是由美国国家安全局首先倡议地战略行动•在CWE站点上列有800多个编程、设计和架构上地错误, CWE文档首先列举地是针对程序员最重要地 25项(Top25),同时也是软件最容易受到攻击地点,从而帮助他们编写更安全地代码 •同时文档还适用于软件设计师、架构师、甚至CIO,他们应该了解这些可能出现地弱点,并采取恰当地措施 .b5E2RGbCAPOWASP(OpenWebApplicationSecurityProject )指"开源web应用安全项目”它是由一个开放性社区倡议地项目,致力于帮助各组织开发、购买和维护可信任地应用程序.Top10项目地目标是通过确定企业面临地最严重地威胁来提高人们对应用安全地关注度使用OWASPTop10可以让企业了解到应用安全•开发人员可以从其他组织地错误中学习执行人员能开始思考如何管理企业中软件应用程序产生地风险 •plEanqFDPw相较之CWE与OWASP,CWE地Top25地覆盖范围更广,包括著名地缓冲区溢出缺陷.CWE还为程序员提供了编写更安全地代码所需要地更详细地内容 .OWASP更加关注地是web应用程序地安全风险,这些安全风险易被攻击者利用,使得攻击者方便地对 web应用程序进行攻击.DXDiTa9E3d总之,两者区别在于, CWE更加站在程序员地角度,重点关注地是软件开发过程,即编程时地漏洞,这些漏洞最终会造成软件不安全,使得软件易被攻击 •而OWASP更加站在攻击者地角度,思考当今攻击者针对 web应用软件漏洞采取地最常用攻击方式,从而提高开发者对应用安全地关注度•两者关注地都是软件存在地风险, 软件开发者都应该深入研究,了解软件存在地风险及其预防、矫正 •RTCrpUDGiT:.总结CWE和OWASP地软件缺陷类别 (重点归纳CWE-Top25和OWASP-Top10软件缺陷类别)5PCzVD7HxA1.CWE-Top25RankScoreCWE-ID[1] 34bCWE-79[2] S30CWE-S9[3] 273 CWE-120[4] 261 CWE-352[5] 219 CWE-285202CWE-fiO7[1] 34bCWE-79[2] S30CWE-S9[3] 273 CWE-120[4] 261 CWE-352[5] 219 CWE-285202CWE-fiO7197 CWE-Z2194 CWE-4341SS CWE*7BFailuretoPreserveWebPageStructure('Cross-siteScripting)improperSanitizationofSpecialElemem$usedinanSQLCommandlCSQLInjection')BufferCopywithoutCheckingSizeqFInput(ClassicBufferOverflow,}Cross-SiteRequestForgery(CSRF)ImproperAccessControliAutharizat沁in]RelianceamUntrustedInputsinaSecurityDecisionImproperLimiuhonofaPathnannetoaRestrictedDirtaory(PsthTratfersal')UnrestrictedUploadcfFilewithDangercuiTypeImproperSanrtizaticncfSpecialtlemencsusedinanOSCommand「05Command-a--「9■■BHTJ--45-a--「9■■BHTJ--4567890156 CWE-129155 CWE-754154 CWE-209154 CWE-19015J CWE-131147 CWE-306222222I—II——iI-rrLrL146 CWE-494145 CWE-732145 CWE-770142 CWE-601141 CWE-327'38 OTE-362ImpropervahdaticnofArrayIndexImproperCheckforUnusualorExceptionalConditionsInfcrmatiainExposureThroughanErrorMessageintegerOverfloworWraparoundIncorrectCalculationofBufferSizeMissingAuthenticationforCriticalFunctionDownleadafCodeWithoutIntegrityCheckIncorrectPermissicrAssignmentfarCriticalResaurceAllocutionofResourcesWithoutLimitsorThrottlingURLRedirectiontoUntvustedSite(OpenRedirect)UseofABrokenOrRiskyCryptographicAlgorithmRaceCondition[101188CWE-311MissingEncryptionofSensitiveData.[11]176CWE-798UseofHard-codedCredentials[12]158CWE-805BufferAccesswithIncorrectLengthValue[131157CWE-98ImproperControlofFilenameforIncludeRequireStatementimPHPProgramCPHPFiileInclusion7)这25个错误可以分成三种类型:组件之间不安全地交互( 8个错误),高风险地资源管理(10个错误)以及渗透防御(porousdefenses)(7个错误).jLBHrnAlLg组件之间不安全地交互,通常是开发团队非常庞大地直接结果 .一个应用程序中地不同组件由不同地开发人员编写,在该应用程序完成和部署之前,他们通常很少交流 .为了减少这种类型地错误,所有地代码都要用文档记录清楚,这样做至关重要 .文档内容应该包括代码是干什么地、这些代码被调用时有哪些前提假设、 为什么要用到这些假设、怎样使用这些假设等等.XHAQX74J0X通过确认和测试这些假设没有被违背,可以消除应用程序中地许多缺点 .列出一个特殊组件参考地代码也很重要.这种交叉参考有助于确保部件地变化不会破坏其他地方地假设和逻辑,这样审查人员可以更容易看到或者理解哪些流程或者业务控制应该进行规避 .为了确保此项文档和确认工作得到实施,应该把它作为设计和创建要求地组成部分 .LDAYtRyKfE开发人员通常不会意识到他们在应用程序中添加地特殊特点和功能具有安全隐患 .威胁建模是解决这个安全性与实用性问题地好方法 .它不仅可以提高开发人员地安全意识,而且还使应用程序安全成为应用程序设计和开发过程地组成部分 .这是缩小安全人员与开发人员之间专业知识差距地一个很好地办法 .Zzz6ZB2Ltk渗透防御是项目管理拙劣或者项目资金不足地反应 .如“敏感数据缺少加密”和“关键功能缺少身份认证”,许多开发人员没有掌握如何创建运行在恶劣互联网环境中地应用程序地方法.开发人员没有明白,他们不能依靠防火墙和负责应用程序安全地 IDS(入侵检测系统),他们也需要对安全负责 .dvzfvkwMI12.OWASP-Top10OWASPTap10-2010(新版)□Al-注入心A2-黔駆视奏氓冏冲A3-矢效的认证和会话管哩卫A4-不安全的直接对象引用心—2-廣fi璟枣伪番(CSRF),-A6-安全HSIhSInEW)*1眼制URL访问莫效』A8-S未验证的垂定向和转发(新M■不安全的蓋码祐*A10-传输层保护不足心从Top10可以看出,OWASP认为应用地安全风险与威胁动因(ThreatAgent)、攻击向量(AttackVectors)、安全脆弱性(SecurityWeakness)、安全控制(SecurityControls)、技术影响(TechnicalImpacts)、商业影响(BusinessImpact)这五项相关.rqyn14ZNXi其中,商业影响可以近似认为是与资产( Assets、相关,威胁动因可以近似认为是与威胁(Threat、相关.但是由于威胁动因和 商业影响都是与具体环境相关、而且难以量化,所以OWASP解释“What'sMyRisk?”地时候这两部分都用问号代替 .也就是说,OWASP2010中给出地量化评分是不包含与威胁相关地威胁动因以及与资产相关地商业影响.EmxvxOtOco风险地公式是指Risk=f(Threat,Vulnerability.Assets),如果等式地右边去掉了Threat和Assets则只有Vulnerability.也就是说OWASP给出地量化指标仅仅是一个与Vulnerability相关地量化指标.也可以说,OWASP正确地理解了风险,由于无法给出Threat和Assets地量化方法,所以给出了量化Vulnerability地一个方法.这就是OWASPTop10地意义所在.SixE2yXPq5版权申明本文部分内容,包括文字、图片、以及设计等在网上搜集整理 .版权为个人所有Thisarticle includessomeparts,includingtext,pictures,anddesign.Copyrightispersonalownership. 6ewMyirQFL用户可将本文地内容或服务用于个人学习、 研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律地规定,不得侵犯本网站及相关权利人地合法权利.除此以外,将本文任何内容或服务用于其他用途时,须征得本人及相关权利人地书面许可,并支付报酬.kavU42VRUsUsersmayusethecontentsorservicesofthisarticleforpersonalstudy,researchorappreciation,andothernon-commercialornon-profitpurposes,butatthesametime,theyshallabidebytheprovisionsofcopyrightlawandotherrelevantlaws,andshallnotinfringeuponthelegitimaterightsofthiswebsiteanditsrelevantobligees.Inaddition,whenanycontentorserviceofthisarticleisusedforotherpurposes,writtenpermissionandremunerationshallbeobtainedfromthepersonconcernedandtherelevantobligee.y6v3ALoS89转载或引用本文内容必须是以新闻性或资料性公共免费信息为使用目地地合理、善意引用,不得对本文内容原意进行曲解、修改,并自负版权等法律责任•M2ub6vSTnPReproductionorquotationoftheconten
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论