OWASP 的 2021 年名单洗牌:新的战斗计划和主要敌人
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
