文/黃彥棻 | 2017-11-21發表
最新版的OWASP前十大資安風險於11月20日全球正式公布,2017年版與2013年版相較,第一二名相同,但新版多了三個全新的漏洞,都與近年來微服務興起有關係。
圖片來源: 
iThome
政府和資安業者都會關注OWASP(The Open Web Application Security Project ,開放網站應用程式安全專案)歸納出的十大網路資安風險(OWASP Top 10),原本今年四月推出一套Top 10風險候選版,但遭社群推翻,並於九月重新徵詢社群意見後,於11月20日推出2017年OWASP Top 10正式版。
OWASP臺灣分會研發長胡辰澔表示,實際調查來自會員貢獻的10萬筆應用程式Log登錄檔和API的資料集,再經過社群討論後,才產生新版的Top10排名。
OWASP納入社群的資安風險建議,更符合現實威脅實況
OWASP這個全球非營利組織擁有四萬名的志工,針對各種網頁安全漏洞提出觀察和建議。最早在2003年12月公布了第一版OWASP Top 10,到了2004年和2007年也推出改版,直到2010年,OWASP首度從風險角度出發,來歸納出嚴重的網路威脅前十名,這個作法也持續迄今。
而在今年公布的新版本又有新作法,不僅有超過40個企業組織自願貢獻應用程式的登錄檔提供資安漏洞分析,更有超過五百人的專家社群回饋觀察到的風險,胡辰澔表示,首度將社群觀察的資安風險納入名單中,也更符合現階段網路世界所面臨的網頁風險。
三項入圍的全新漏洞,和微服務興起有關
新版OWASP Top 10有3個全新的資安風險,包括:針對各平臺常見的XML外部處理器漏洞(XML External Entity,XXE)、針對Java、PHP或Node.js等平臺常見的不安全的反序列化漏洞(Insecure Deserialization),以及「紀錄與監控不足風險」(Insufficient Logging & Monitoring)。他指出,XML外部處理器漏洞就是實際調查會員提供的Log和API後,才統計歸納出來的風險類型,而不安全的反序列化攻擊以及紀錄與監控不足風險則是社群回饋看到的風險類型。
胡辰澔認為,這三個新入圍的資安風險和越來越多微服務的興起有關係,在強調快速提供服務的過程中,有許多需要嚴謹資安驗證和授權的程序,都因此被忽略才會造成類似敏感資料外洩的結果。
首先,這次新入圍的XML外部處理器漏洞,就是因為在處理很多XML語法時,沒有做好相關權限保護而造成機敏資料外洩的風險。
胡辰澔指出,許多以XML為基礎的應用程式或網路服務,沒有管控權限,直接接受XML語法的請求(Request)或上傳(Upload),此時,只要插入一個惡意XML文件,就能鎖定XML處理器漏洞攻擊,而有資料外洩的風險。
目前,以XML編碼的SOAP(Simple Object Access Protocol,簡單物件存取協定)訊息,是可被第三方用來簡化網頁伺服器訊息傳遞的標準化格式,但胡辰澔說:「因為SOAP 1.2版之前的XML編碼沒有寫好,所以,只要使用SOAP 1.2版的訊息交換格式,預設都有XML外部處理器漏洞(XXE)的風險,這也意味著這樣的Web服務,容易遭受到DoS(阻斷式服務)攻擊。」
其次,不安全的反序列化漏洞主要是鎖定Java平臺、PHP或是Node.js等平臺常見的攻擊方式,除了會導致遠端程式碼執行(RCE)外,也可能成為駭客發動攻擊的工具,例如重播攻擊(Relay Attacks)、注入攻擊( Injection Attacks)以及特權升級攻擊(Privilege Escalation Attacks)等。
胡辰澔也說,在今年九月爆發的美國消費者信用報告業者Equifax有高達1.43億筆個資外洩,最主要的原因包括該公司的網站有:XML外部處理器漏洞和不安全的反序列化漏洞所帶來敏感資料外洩的風險。