OWASP 无服务器应用安全风险 TOP 10 m o b u c . 5 h t i g OWASP 中国 2019 年 5 月 目录 发布说明 ...........................................................................................................................................2 欢迎来到无服务器应用安全的世界...................................................................................................3 A1:2017 注入 .................................................................................................................................4 A2:2017 失效的身份认证...............................................................................................................9 A3:2017 敏感数据泄露 ................................................................................................................ 11 A4:2017 XML 外部实体 (XXE) ..................................................................................................... 14 A5:2017 失效的访问控制............................................................................................................. 16 A6:2017 安全配置错误 ................................................................................................................ 18 m o A7:2017 跨站脚本 (XSS) .............................................................................................................. 20 A8:2017 不安全的反序列化 ......................................................................................................... 22 c . 5 A9:2017 使用含有已知漏洞的组件 .............................................................................................. 26 A10:2017 不足的日志记录和监控................................................................................................ 28 b u 其他需要考虑的风险....................................................................................................................... 30 总结 ................................................................................................................................................ 33 h t i g 未来的工作 ..................................................................................................................................... 34 致谢 ................................................................................................................................................ 35 1 发布说明 重要提醒 本报告为初版,旨在帮助读者初步了解无服务器应用的安全风险。同时,本报告作为 OWASP Serverless Top 10 项目组面向 OWASP 全球社区和行业公开征求意见的基础,从而根据行 业知识和公开的真实数据创建一个正式的 OWASP 无服务器应用安全风险 Top 10 报告。 文章结构 本报告基于 2017 年版的《OWASP Top 10》文档,对《OWASP Top 10》中的每个风险从以 下六个方面进行审视:      针对无服务器应用,可能出现的新攻击向量; 为什么无服务应用容易受到此类攻击以及如何攻击; 对于云账户的业务影响; 预防和减轻此类风险或攻击的最佳实践和建议; 攻击案例场景,展示可能的漏洞和利用手法;  综合考虑该风险的攻击向量、安全弱点、影响、识别风险和减轻风险的能力,该风险 在无服务器应用中是更高了、更低了还是相同? 征求意见      c . 5 b u h t i g 支持项目的相关漏洞数据; 对最终版 OWASP 无服务器应用 Top 10 项目中应列出内容的建议和投票,包括当前未列 入此列表、但建议添加的任何风险; 关于“如何预防”部分的建议; 任何应该引入参考的 OWASP 内部资料和外部资料。 致谢  m o 感谢赞助本报告的 Protego 实验室及其他所有贡献者。本报告的审稿人在“致谢”页面上提 及,同时提供漏洞数据以及其他提供帮助的组织和个人在本项目 OWASP 网站的“致谢”页面中 列出。 感谢本报告中文版本的贡献者。本报告中文版本的贡献人在“致谢”页面上提及。 版权和许可 本报告根据知识共享署名 - 相同方式共享 4.0(CCBY-NC-SA 4.0)国际许可(OWASP 项目 通用)。 2 欢迎来到无服务器应用安全的世界 采用无服务器技术时,我们不需要服务器来管理我们的应用。通过这样,我们将一些安全威 胁转移给了基础设施提供商,如:AWS、Azure 或 Google Cloud。无服务应用开发除了具有成 本、可扩展性等优势外,一些安全服务也可由我们的服务提供商提供,通常可以信任这些服务提 供商。无服务器服务(如:AWS Lambda、Azure Functions、Google Cloud Function 和 IBM Cloud Functions)仅在需要时执行代码,无需预配置或管理服务器。 但是,即使这些应用在没有托管服务器的情况下运行,它们仍然需要执行代码。如果这些代 码以不安全的方式编写,应用可能容易受到传统应用级别的攻击,如:跨站点脚本 (XSS)、命令行 注入/SQL 注入、拒绝服务 (DoS)、失效的身份验证和授权等等。 m o 这是否意味着,无服务器应用也会受到我们在传统应用中遇到的相同攻击呢? 在大多数情况 下,回答是肯定的,传统的攻击也存在于无服务器体系结构中。 c . 5 《OWASP Top 10》 是安全从业人员了解最常见应用攻击和风险的事实指南。其数据来源涵 盖了从数百个组织和 超十万个真实应用和 API 中收集的漏洞信息。Top 10 项目根据这些数据进行 选择和优先排序,结合对可利用性、可检测性和影响程度的一致性评估,从而提供了十类最关键 的 Web 应用安全风险。 b u 这份报告是无服务器安全世界的第一瞥,并将作为 OWASP 安全组织针对《OWASP Top 10》 有关无服务器项目的基线。该报告研究了攻击向量、安全弱点、成功攻击无服务器应用所产生业 务影响的差异,以及如何防止它们。正如我们所看到的,对攻击预防的方式与传统应用攻击的预 防方式有所不同。其他不在原《OWASP Top 10》、但可能与本报告相关的风险,在“其他需要考 虑的风险” 章节中列出。 h t i g 3 A1:2017 注入 攻击向量 传统应用中用于注入的攻击向量通常指攻击者可以控制或操纵应用输入的任何位置。但在无 服务器应用中,攻击面会增加。 由于无服务器函数可以被不同事件源触发,如:云存储事件(S3、Blobs 和其他云存储)、 流数据处理(如: AWS Kinesis)、数据库更改(如: DynamoDBs、CosmosDdb)、代码修改 (如: AWS CodeCommit)、通知(如: SMS、电子邮件、IoT)等,我们不应该把直接来自 API 调用的输入作为唯一的攻击面。此外,我们不再控制源到资源间的这条线。如果函数被邮件或数 据库触发,没有地方可设置防火墙或任何其他控制措施来验证事件。 m o 安全弱点 传统的 SQL/NoSQL 注入也是一样。OS 命令注入可能不会针对容器中的文件(如: /etc/host),但在容器中可以找到源代码和其他敏感信息。代码注入将允许攻击者使用提供商的 API 扫描及交互账户中的其他服务。 影响 c . 5 b u 注入攻击的影响将取决于易受攻击的函数所具有的权限。如果函数已被分配一个角色,授予 它自由访问云存储的权限,那么注入的代码可以删除数据、上传损坏的数据等。如果函数被授予 访问数据库表的权限,则可以删除记录、插入记录等。允许创建用户和权限的角色最终会导致云 账户的接管。 如何预防 • • h t i g • • • 切勿信任、传递或做出任何关于输入及其有效性的假设; 使用安全的 API,这可以完全避免使用解

pdf文档 OWASP 无服务器应用安全风险 TOP 10 2019年翻译

文档预览
中文文档 36 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共36页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
OWASP 无服务器应用安全风险 TOP 10 2019年翻译 第 1 页 OWASP 无服务器应用安全风险 TOP 10 2019年翻译 第 2 页 OWASP 无服务器应用安全风险 TOP 10 2019年翻译 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-21 11:58:24上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。