Основываясь на статистике: неофициальное предложение Топ-10 OWASP 2021

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!



Многим из нас встречался список угроз Топ-10 OWASP. А некоторые даже знают, что он обновляется каждые 3-4 года. И срок следующего обновления уже подошел. Но процесс создания списка угроз OWASP плохо документирован, поэтому нам захотелось предложить прозрачный, основанный на статистике рейтинг для тех же категорий угроз.
Мы проанализировали 2 миллиона различных отчетов о безопасности из 144 открытых источников. Под катом вы найдете наш вклад в анализ Топ-10 угроз OWASP на 2021 год. При этом каждый из читающих сможет воспроизвести результаты на основе понятных метрик.


Дублирование категорий угроз в Топ-10 OWASP 2017


Первое, что нужно сказать о Топ-10 OWASP, это то, что этот список не является классификацией уязвимостей ни в коей мере, поскольку категории угроз в списке дублируются. Здесь можно сослаться на статью в Security Boulevard и на наш пост в блоге, в котором описаны такие пересечения, представленные на следующей диаграмме:


Дублирование категорий угроз в Top-10 OWASP 2017

Топ-10 OWASP НЕ ЯВЛЯЕТСЯ классификацией уязвимостей, а скорее списком угроз, выявленных за последний период времени. Вот почему для прогнозирования состава следующего списка Топ-10 OWASP 2021 нам следует проанализировать угрозы для целевых веб-ресурсов за последние четыре года. Итак, начнем.


Методология


Для получения статистических данных мы воспользовались ресурсом Vulners.com — базой агрегированных данных, которая содержит более 4 миллионов бюллетеней от 144 компаний, включая программы по выявлению ошибок, такие как HackerOne.


Общее количество бюллетеней, использованных для создания этого списка, включая бюллетени CVE, отчеты о найденных ошибках и бюллетени по безопасности от компаний,** составляет 2 168 521 (поисковый запрос: «опубликовано: [c 2018-01-01 по 2020-12-31]»).


Чтобы разделить данные по категориям, были составлены поисковые запросы уязвимостей для всех десяти категорий OWASP. Стоит признать, что полнотекстовый поиск, вероятно, не самое точное решение для классификации данных, однако, для решения этой конкретной задачи данный метод все же подойдет. Бюллетени по безопасности почти для всех категорий OWASP можно было найти, выполнив поиск по акронимам и аббревиатурам.


Для категории «Использование компонентов с известными уязвимостями» общее количество отчетов о безопасности, посвященных веб-угрозам, было принято как общее количество номеров CVE, присвоенных за последние 3 года.


Это удивительно, но согласно статистике Vulners, XSS составляет 20% от ВСЕХ бюллетеней безопасности за последние три года. Это почти в 10 раз больше, чем число всех CVE, опубликованных за последние три года! Поскольку многие XSS-уязвимости не имеют оценки CVSS (т.е. их рейтинг равен нулю), средняя оценка для многих из таких уязвимостей по-прежнему составляет 0,1. Этот факт, однако, не мешает XSS-уязвимостям попасть в топ-3 рейтинга. Еще раз, это происходит потому, что такие уязвимости были упомянуты в каждом пятом бюллетене из опубликованных за последние 3 года.


Следующие запросы можно использовать для проверки, изменения или проведения собственного анализа:


Сопоставление списков угроз за 2017 и 2021 годы Поисковый запрос
A1. Внедрение injection OR traversal OR lfi OR "os command" OR SSTI OR RCE OR "remote code"
A2. Недостатки аутентификации authentication
A3. Разглашение конфиденциальных данных sensitive AND data
ОБЪЕДИНЕНО С A8. Небезопасная десериализация + A4. Внешние сущности XML (XXE) XXE OR deserialize OR deserialization OR "external entities"
A5. Недостатки контроля доступа access control
A6. Некорректная настройка параметров безопасности misconfiguration OR misconfigure OR misconfig
A7. XSS XSS
НОВОЕ: SSRF SSRF OR "server side request forgery"
A9. Использование компонентов с известными уязвимостями type:cve and (http OR web OR html)
A10. Недостатки журналирования и мониторинга logging

Как видите, мы твердо убеждены, что сообщество OWASP добавит новую категорию SSRF и объединит категории «A4. Внешние сущности XML (XXE)» и «A8. Небезопасная десериализация» в предстоящем выпуске Топ-10 OWASP 2021. И вот почему.


Предложение 1: Выделить SSRF в отдельную категорию


Перечислим три самых важных факта, связанных с SSRF:


  1. SSRF-атаки занимают третье место среди наиболее критических уязвимостей по данным статистики за первое полугодие 2020 г.
  2. Специалисты Amazon серьезно отнеслись к этой угрозе и в конце 2019 года внесли соответствующие изменения в сервисы метаданных EC2.
  3. SSRF-атаки привели к реализации множества серьезных рисков информационной безопасности, включая самый известный взлом Capital One с обходом WAF, подробно описанный Брайаном Кребсом в его блоге.

Согласно глобальной статистике, собранной Vulners, метод SSRF упоминался в 912 бюллетенях за последние три года, то есть почти столько же раз, как и категория A4 — XXE (1000 результатов) и в 2,5 раза чаще, чем категория A6 — Некорректная настройка параметров безопасности (481 результат) из списка угроз Топ-10 OWASP 2017.


Подводя итог, можно сказать, что SSRF — это критическая проблема, которая может привести к захвату облачных ресурсов, удаленному выполнению кода, утечке данных и реализации иных рисков ИБ. Использование фильтрации ввода и других механизмов проверки данных не может устранить SSRF-угрозу. Amazon и другие облачные провайдеры серьезно относятся к данной проблеме и вносят соответствующие изменения в свою инфраструктуру для снижения рисков. За последние три года SSRF-атаки упоминаются почти в таком же количестве бюллетеней по безопасности, что и XXE. Поэтому мы надеемся, что никто не обвинит нас в предложении добавить данную угрозу в список Топ-10 OWASP 2021 года.


Предложение 2: Объединить категории «Внешние сущности XML (XXE)» и «Небезопасная десериализация»


Уязвимость XXE, также известная как инъекция внешних сущностей XML, технически представляет собой реализацию функции сериализации, которая позволяет включать в XML-документ содержимое локальных и удаленных файлов. Кстати, иногда это приводит к реализации SSRF. Поэтому можно смело утверждать, что XXE относится к категории «Небезопасная десериализация».


Кроме того, невозможно считать XXE-атаки отдельной категорией, учитывая наличие такой собирательной категории, как «A1. Внедрение», куда относится почти все — от внедрения SQL-кода до атаки Path Traversal и выполнения команд ОС, — которая определенно будет возглавлять список OWASP еще долгие годы.


Учитывая эти два факта, а также на основании статистических данных о количестве отчетов о безопасности в каждой из категорий, мы решили объединить XXE и небезопасную десериализацию в один класс.


Предложение 3: Ввести оценку риска для правильного ранжирования угроз


Для ранжирования предполагаемого списка угроз Топ-10 OWASP для каждой из категорий мы использовали среднее значение по системе оценки CVSS. Фактически, поскольку многие бюллетени имеют 0 баллов по CVSS, полученный рейтинг следует интерпретировать как среднее значение по CVSS для категории, что на самом деле просто демонстрирует правильное соотношение между ними.


Общий риск = Сред. оценка по CVSS x Количество бюллетеней


Построение списка Топ-10 OWASP 2021


Как упоминалось выше, мы использовали агрегированные данные из 144 источников, включая бюллетени безопасности, проиндексированные Vulners.com. Такой подход позволяет учитывать не только данные CVE, но и все прочие отчеты, включая отчеты о найденных ошибках, эксплойтах и уязвимостях, обнаруженных сканером, количество которых находится в прямой зависимости от реального состояния информационной безопасности. Если мы будем считать только записи CVE, результаты будут кардинально отличаться, поскольку категория «Использование компонентов с известными уязвимостями» будет технически равна по объему сумме всех остальных категорий вместе взятых.


Предлагаем наиболее справедливый, на наш взгляд, способ построения списка угроз Топ-10 OWASP 2021. Можете убедиться сами!


#Топ-10 OWASP 2021 Поисковый запрос Vulners Сред. оценка по CVSS Кол-во бюллетеней Общая оценка
A1 Внедрение injection OR traversal OR lfi OR "os command" OR SSTI OR RCE OR "remote code" 4,83 34061 164514,63
A2 Недостатки аутентификации authentication 4,08 13735 56038,8
A3 Межсайтовое выполнение сценариев (XSS) xss 0,1 433353 43335,3
A4 Разглашение конфиденциальных данных sensitive AND data 3,55 5990 21264,5
A5 Небезопасная десериализация XXE OR deserialize OR deserialization OR "external entities" 5,33 2985 15910,05
A6 Недостатки контроля доступа access control 0,72 16967 12216,24
A7 Недостатки журналирования и мониторинга logging 3,35 2309 7735,15
A8 Подделка запросов на стороне сервера (SSRF) SSRF OR "server side request forgery" 3,8 1139 4328,2
A9 Использование компонентов с известными уязвимостями Type: cve and (http OR web OR html) 5,38 376 2022,88
A10 Некорректная настройка параметров безопасности misconfiguration OR misconfigure OR misconfig 2,27 480 1089,6

Наш прогноз Топ-10 OWASP 2021 в сравнении с Топ-10 OWASP 2017


Подводя итог, мы с уверенностью представляем итоги собственного прогноза списка угроз Топ-10 OWASP на 2021 год, поскольку результаты основаны на общедоступных статистических данных.


Топ-10 OWASP 2017 Измнения Предлагаемый список Топ-10 OWASP 2021
A1 Внедрение как есть A1 Внедрение
A2 Недостатки аутентификации как есть A2 Недостатки аутентификации
A3 Разглашение конфиденциальных данных вниз на 1 пункт A3 Межсайтовое выполнение сценариев (XSS)
A4 Внешние сущности XML (XXE) вниз на 1 пункт + A8 A4 Разглашение конфиденциальных данных
A5 Недостатки контроля доступа вниз на 1 пункт A5 Небезопасная десериализация (объединено с XXE)
A6 Некорректная настройка параметров безопасности вниз на 4 пункта A6 Недостатки контроля доступа
A7 Межсайтовое выполнение сценариев (XSS) вверх на 4 пункта A7 Недостатки журналирования и мониторинга
A8 Небезопасная десериализация вверх на 3 пункта + A4 A8 НОВОЕ: Подделка запросов на стороне сервера (SSRF)
A9 Использование компонентов с известными уязвимостями как есть A9 Использование компонентов с известными уязвимостями
A10 Недостатки журналирования и мониторинга вверх на 3 пункта A10 Некорректная настройка параметров безопасности

Надеемся, что эти результаты будут полезны для оценки рисков, управления уязвимостями, образовательных целей и просто интересного чтения для экспертов и энтузиастов по безопасности приложений.


Спасибо за интерес!

Источник: https://habr.com/ru/company/wallarm/blog/541738/


Интересные статьи

Интересные статьи

Всем привет! Продолжаем дайджесты новостей и других материалов о свободном и открытом ПО и немного о железе. Всё самое главное про пингвинов и не только, в России и мире. Red Hat предс...
Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже п...
В обновлении «Сидней» Битрикс выпустил новый продукт в составе Битрикс24: магазины. Теперь в любом портале можно создать не только лендинг или многостраничный сайт, но даже интернет-магазин. С корзино...
В День программиста делимся с мобильными разработчиками подборкой отличных докладов! В мае в Петербурге прошла конференция Mobius, а теперь мы опубликовали её видеозаписи — и для Хабра сделал...
3 апреля при поддержке компании «Инфосистемы Джет» пройдёт очередная встреча российского отделения сообщества OWASP, на которой соберутся специалисты по информационной безопасности. ...