[原創]解讀2017 OWASP Top10漏洞體系（含接口安全）

2017年4月初，OWASP發佈了關於Top10的徵求意見版。 爭議最大的是A7攻擊檢測與防範不足。 但我主要是按照平常的滲透漏洞進行解讀分析的。

解讀完畢後，首發t00ls原創文章。

https://www.t00ls.net/viewthread.php?from=notice&tid=39385

0x00 Top 10

OWASP Top10漏洞體系長期以來做爲Web攻防白帽子既基礎又核心的一個標準。漏洞標準變化以下：

變化內容：

1. 合併了2013-A4「不安全的直接對象引用」和2013-A7「功能級訪問控制功能缺失」到2017-A4「無效的訪問控制」。
2. 增長了2017-A7：攻擊檢測與防範不足
3. 增長了 2017-A10: 未受保護的API
4. 去掉了: 2013-A10:未驗證的重定向和轉發
5. 根據增刪內容，標準中屢次提到了API安全的關鍵字
6. 根據解說內容，標準逐漸向抽象性漏洞過渡和延伸，包括登陸體系、會話權限等系列的邏輯漏洞

 

0x02 漏洞關聯

官方提到 T10圍繞主要風險區域進行整理，而不是密封，不重疊或嚴格的分類。 其中一些是圍繞着攻擊者整理的，一些是脆弱性，一些是防護，一些是資產。 組織應考慮制定措施，以消除這些問題。Top10 與平常滲透的實際的漏洞點結合起來，關聯以下：

 

固然硬性的把某個漏洞直接歸類到An類型，也不是很友好，好比上傳漏洞歸到A4 – 失效的訪問控制略顯牽強，由於從數據包上面理解更像是注入，但文件包含、任意下載刪除這基本和權限是有關的，因此暫時把文件操做類漏洞概括爲A4。雖然硬性概括和漏洞堆疊 部分略顯牽強，但這種類型的關聯可以體現線性拓展以便進一步建模分析，用以滾雪球式充當產品漏報和誤報的理論基礎。

 

0x02 接口安全

本次更新，API關鍵字上鏡率特別高，SO嘗試單獨對接口安全進行彙總分析。 科普到關於API的定義和範圍，簡單理解就是接口，鏈接兩部分代碼的粘合劑。咱們能夠在APIStore搜索到關於N多產品分類的接口，但這些API對於已有漏洞挖掘經驗來分析，規律統一，因此咱們按照平常漏洞挖掘的思惟去分類，以下：

回想Web安全漏洞挖掘主要集結在輸入輸出、登陸體系、會話權限三大類（包含了常見的WEB漏洞以及邏輯漏洞），固然依據目前移動互聯網的趨勢還有多種文件及數據類型XML JSON RPC GWT 的接口，因此有必要針對接口安全進行細分及挖掘。滲透過程當中常常會遇到手機APP、小程序、微信公衆號類等，好多都是基於WebService，因此仍然能夠找到相似Web同樣的服務端漏洞。

Tips:對APP進行反編譯，在內部根據域名和IP進行正則匹配，每每也是個薄弱出發點。

 

 咱們再回看一個關於支付接口的漏洞分類，以便進一步佐證接口安全在滲透的地位。固然若是考慮防護的話，更多考慮的是機制是協同。

另外關於接口數據的關聯整合，這個一直想表達的，但礙於案例，目前還沒有發佈。舉例說明經過登陸接口部分不健全機制，能夠得到用戶名對應的隱藏幾位的手機號，根據手機號可得到用戶名。還能夠根據用戶名可以對應論壇的我的屬性。這樣通過大量數據爬蟲後，能夠對應「用戶名---手機號---我的屬性」的關聯信息。這部分可能在房產、金融等領域會有突出的效果。

 

0x03 信息參考

OWASP Top 10 - 2017 RC1-English.pdf 

OWASP Top 10 - 2017 RC1-chinese.pdf （DSRC翻譯）

OWASP top10 全局關聯圖我的概括總結

連接：http://pan.baidu.com/s/1nuCOMmd 密碼：hrup