测试十大漏洞类别总结

2022年测试中发现的十大漏洞类别如下：

1. 信息披露，又称信息泄露。当敏感信息暴露给未授权方时，就会出现这种安全问题。例如，网站可能会因为 安全配置错误而泄露用户名或财务信息等用户数据。在三年来开展的所有测试中，平均有19%的漏洞与信 息泄露问题直接相关。 OWASP团队将信息泄露归入“A01:2021-访问控制失效”类别，并指出与其他类别相比，这个类别中的漏洞 最多。“向未经授权的行为者暴露敏感信息”、“通过发送的数据暴露敏感信息”以及“跨站请求伪造”等，都 是该类别中最常见的漏洞。

2. 服务器（安全）配置错误。服务器配置错误属于OWASP的“A05:2021-安全配置错误”类别，在三年来开展的 所有测试中，这一类别平均占到漏洞总数的18%。虽然我们的研究结果集中在服务器配置错误上，但安全 配置错误可以发生在应用程序堆栈的任何层级，包括网络服务、平台、Web服务器、应用服务器、数据库、框 架、自定义代码和预安装的虚拟机、容器或存储器（见第5类）。这类缺陷经常允许攻击者未经授权访问系统 数据或功能，有时甚至会导致整个系统被攻陷。

3. 传输层保护不足。这些安全缺陷是由于应用没有采取适当措施来保护网络流量而导致的。在身份验证期 间，应用可能会使用SSL/ TLS来保护数据安全，但通常不对其他操作使用这些技术，从而使数据和会话ID 暴露给第三方。 许多移动应用都存在与传输层安全性不足相关的特定问题，以至于OWASP在其OWASP Mobile Top list中 专门为其设立了一个类别。正如OWASP所指出的那样，“移动应用通常不会保护网络流量。它们可能会在 身份验证期间使用SSL/TLS，但不会在其他地方使用这些技术。这种不一致性导致数据和会话ID容易被拦 截。”在三年来开展的所有测试中，平均有11%的漏洞与传输层保护不足有关。

4. 授权不足。这些漏洞可能允许用户访问他们无权访问的数据、内容或功能。当应用或系统没有正确验证用 户身份或未能实施适当的访问控制时，就可能发生这种情况。 例如，移动应用根据请求将用户角色或权限信息未经加密传输到后端系统，就属于不安全的授权。OWASP 指出，IDOR漏洞的存在通常表明代码没有执行有效的授权检查。在三年来开展的所有测试中，平均有9%的 漏洞与授权不足问题有关。

5. 应用配置错误。这也是一种安全配置错误，也是在OWASP十大漏洞列表中排名第五的危险漏洞。 许多应用都有一些开发者功能，这些功能如果在部署时没有关闭，就会非常危险，比如调试和QA功能。未被适 当锁定的配置文件可能以明文显示（即任何人都可以读取的未加密文本），并且配置文件中的默认设置可能并 没有考虑到安全因素。在三年来开展的所有测试中，平均有5%的漏洞与应用配置错误有关。

6. 应用隐私失败。应用隐私失败与信息泄露/披露相关，是指应用在设计、实施或修补方面存在缺陷，导致未授 权的用户可以访问数据或内容，发生隐私泄露。组织机构在构建应用时，应考虑到一些隐私问题，例如： – 我们的开发人员是否接受过Web应用隐私方面的培训？ – 是否编制了安全编码指南？ – 我们的软件（包括服务器、数据库和库代码）能否及时更新？ – 是否定期安装补丁？ – 为确保软件中使用的第三方和开源代码是安全且最新的，我们采取了哪些措施？ – 个人数据在完成指定任务后是否会被删除？ 在三年来开展的所有测试中，平均有5%的漏洞与隐私问题有关。

7. 身份验证不足。以前称为“身份验证失败”，属于OWASP“A07:2021—身份验证和认证失败”类别，现在涵盖 与身份验证失败相关的漏洞，例如我们列表中的第4类和第7类漏洞。在三年来开展的所有测试中，平均有5% 的漏洞与身份验证不足有关。 身份验证和授权不足是指因应用或系统没有正确验证用户身份或未能实施适当的访问控制而导致的安全 漏洞。未经授权的用户可能会访问敏感信息或执行他们无权执行的操作，从而引发数据泄露和数据丢失等 安全问题。

8. 内容欺骗/内容注入。内容欺骗也称为内容注入，是一种针对用户的攻击，可能是由于Web应用中存在漏洞， 无法正确处理用户提供的数据而造成的。 当Web应用将攻击者提供的内容呈现给毫无戒心的用户时，就会发生这种情况，其发生的形式通常是可信域 名下修改过的页面。OWASP指出，这类攻击经常被误解为常见的Web漏洞，几乎或根本没有业务影响。但实际 上，内容欺骗攻击频繁出现在各种欺诈中，攻击者冒充合法实体诱骗用户提供登录凭证。更令人担忧的是，内容欺骗有可能发起危险的攻击，包括代码注入和跨站脚本。三年来开展的所有测试中， 平均有4%的漏洞与内容欺骗或内容注入有关。

9. 指纹敏感性。指纹（探测Web应用以获取信息）可以给攻击者提供有价值的信息，如操作系统类型、操作系 统版本、SNMP信息、域名、网络区域和VPN连接点等。三年来开展的所有测试中，平均有3%的漏洞与指纹 有关。 测试中发现的许多具体的指纹类安全问题都属于微风险、低风险或中风险问题。也就是说，攻击者不能直 接利用这些漏洞来访问系统或敏感数据。然而，揭示这些漏洞并不是一件徒劳无功的事情，因为即使是低 风险的漏洞，也可能被用来促进攻击。 例如，在三分之一的渗透测试和近一半的DAST扫描中，持续发现了与指纹相关的一个安全问题，即冗长的 服务器标识。虽然这是一个中风险漏洞，但却能够给攻击者发动攻击提供足够的信息，如服务器名 称、类型和版本号等。//右图下面的文字没有翻译。

10. 遭遇客户端/跨站脚本攻击。跨站脚本 (XSS) 攻击是一类客户端代码注入攻击，是在新思科技三年测试中排 名第一或第二的高危漏洞。攻击者试图通过在合法的网页或Web应用中注入恶意代码而在受害者的Web浏 览器中执行恶意脚本。在2022年测试发现的所有高风险漏洞中，有19%与跨站脚本攻击有关。 实施或加强诸如内容安全策略 (CSP) 之类的保护措施可以提供额外的安全层，帮助检测和缓解某些类型的 攻击，包括跨站脚本和数据注入攻击。攻击者可以使用不安全的用 户数据传输，将命令注入到Web服务器上的系统Shell中，然后利用特权来破坏服务器。 许多组织都认为，CSP不安全或缺失只是低风险漏洞。然而，跨站脚本、点击劫持和跨站泄漏等攻击的频繁 发生，凸显出应用CSP的必要性，尤其是可以防止恶意脚本在客户端执行的CSP — 作为第二层防线来抵御 各种类型的攻击，包括跨站脚本和数据注入攻击。