OWASP TOP 10 合集

一、OWASP 大語言模型應用程序十大風險

近日，OWASP發布了Top 10 for Large Language Model Applications項目，旨在教育開發人員、設計師、架構師、經理和組織了解部署和管理大語言模型LLM時的潛在安全風險。

二、OWASP CI/CD 十大風險

CI/CD環境、流程和系統是現代軟件組織的重要組成部分。它們將開發人員工作站的源代碼上傳到軟件產品代碼庫。隨著DevOps和微服務架構的興起，CI/CD系統和流程已重塑軟件工程生態系統。它們也同時重塑了攻擊面，為攻擊者提供了大量的新途徑和新機會來獲取組織的核心資產。

下面列出了前 10 大 CI/CD 安全風險。所有風險遵循一致的結構 -

定義Definition-風險性質的簡明定義。

描述Description-對背景和攻擊動機的詳細解釋。

影響Impact-詳細說明風險的實現可能對組織產生的潛在影響。

建議Recommendations-一組用于優化組織CI/CD安全風險態勢的控制措施與建議。

參考資料References-現實中利用相關風險的示例和先例列表。

    風險列表：

    CICD-SEC-1不足的流程控制機制

    CICD-SEC-2不當的身份識別和訪問管理

    CICD-SEC-3依賴鏈濫用

    CICD-SEC-4管道投毒執行

    CICD-SEC-5基于流水線的訪問控制不足

    CICD-SEC-6憑據清理不足

    CICD-SEC-7不安全的系統配置

CICD-SEC-8第三方服務的不受控使用

CICD-SEC-9不正確的工件完整性驗證

CICD-SEC-10日志記錄和可見性不足

參考：

owasp.org/www-project-top-10-ci-cd-security-risks

三、OWASP低代碼十大安全風險

隨著低代碼/無代碼開發平臺激增以及被企業廣泛使用，產業界提出了一個明確而緊迫的需求，即建立依賴此類平臺開發的應用程序相關的安全和隱私風險意識。“OWASP Top 10 Low-Code/No-Code Security Risks”(簡稱OWASP低代碼十大安全風險)是為希望采用和開發低代碼（可視化少量代碼開發）、無代碼（可視化無需編程開發）應用程序的企業提供幫助和指導。

以下是10大安全風險清單：

LCNC-SEC-01：身份冒充

LCNC-SEC-02：授權濫用

LCNC-SEC-03：數據泄漏和意外后果

LCNC-SEC-04：身份驗證和安全通信失效

LCNC-SEC-05：安全配置錯誤

LCNC-SEC-06：注入處理失效

LCNC-SEC-07：脆弱和不可信的組件

LCNC-SEC-08：數據和密鑰處理失效

LCNC-SEC-09：資產管理失效

LCNC-SEC-10：安全日志記錄和監控失效

參考：

https://owasp.org/www-project-top-10-low-code-no-code-security-risks/

四、OWASP容器安全十大風險

OWASP容器安全十大風險（OWASP Docker Top 10 ）項目主要希望為開發人員、審計人員、安全人員以及云運營商等相關機構提供了用來規劃和實施基于Docker的安全容器環境。這10點按相關性排序，它們不是將風險表示為 OWASP Top 10 中的每個單點，而是表示安全控制。控制范圍從基線安全到更高級的控制，具體取決于實際的安全要求。

以下是十大風險清單：

01 用戶映射安全

Secure User Mapping

02 補丁管理策略

Patch Management Strategy

03 網絡分段和防火墻

Network Segmentation and Firewalling

04 安全默認值和加固

Secure Defaults and Hardening

05 維護上下文安全

Maintain Security Contexts

06 機密數據保護

Protect Secrets

07 資源保護

Resou rce Protection

08 容器鏡像完整性和可信發布者

Container Image Integrity and Origin

09 不可變的范式

Follow Immutable Paradigm

10 日志

Logging

參考：

https://owasp.org/www-project-docker-top-10/

五、OWASP十大隱私風險

OWASP十大隱私風險項目（OWASP Top10 Privacy Countermeasures v1.0）提供了Web應用程序中的隱私風險和相關對策的前十名。它涵蓋了關注現實生活風險的技術和組織方面，而不僅僅是法律問題。

以下是 10大安全風險列表

六、OWASP 區塊鏈安全 TOP 10 2019

近幾年，區塊鏈技術的發展非常迅猛，安全形勢也越來越嚴峻，僅安全事件導致的直接經濟損失就高達35億美元，很多公司甚至因此倒閉，給行業帶來了巨額的經濟損失和慘痛的教訓。基于此，OWASP中國成立專門研究小組，收集、整理和分析了2011年至2019年間共160個典型區塊鏈安全事件，并在本文檔中給出了排列，并從“風險描述”、 “危害描述”、“實際案例”、“修復方案”四個方面介紹分析區塊鏈安全10大風險，希望能幫助到廣大的區塊鏈從業者和關注區塊鏈安全的人們。

以下是區塊鏈安全10大風險清單：

一、高級可持續威脅

二、失控的幣值通脹

三、失效的權限控制

四、不安全的共識協議

五、考慮不充分的程序邏輯

六、不嚴謹的業務策略

七、校驗不嚴格的交易邏輯

八、脆弱的隨機數機制

九、存在缺陷的激勵機制

十、日志記錄和監控不足

參考：http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10

七、2023 OWASP API TOP 10

OWASP API 安全項目旨在解決越來越多的組織將潛在敏感 API 作為其軟件產品的一部分進行部署的問題，這些 API 通常用于內部任務和與第三方的接口。不幸的是，許多 API 沒有經過嚴格的安全測試。OWASP API 安全項目通過強調不安全 API 中的潛在風險，并說明如何減輕這些風險，為軟件開發人員和安全評估人員提供價值。為了實現這一目標，OWASP API安全項目創建了一份 10 大 API 安全風險文名單。

以下是 API安全風險名單：

API 1：中斷的對象級授權

API 傾向于暴露處理對象標識符的端點，從而創造出對象級訪問控制問題的廣泛攻擊面。因此在使用用戶 ID 訪問數據源的每個函數中，應當考慮執行對象級授權檢查。

API 2：無效的身份認證

身份驗證機制通常實施不正確，允許攻擊者破壞身份驗證令牌或利用實現缺陷暫時或永久假定其他用戶的身份，損害系統識別客戶端/用戶的能力，會損害整體 API 安全性。

API 3：失效的對象屬性級授權

此類別結合了 API 3:2019-過度的數據泄露和 API 6:2019-批量分配，關注的根本原因是對象屬性級缺乏授權驗證或驗證不當，從而導致信息泄露或越權訪操縱。

API 4：不受限制的資源消耗

滿足 API 請求需要網絡帶寬、CPU、內存和存儲等資源。其它資源如郵件/SMS/電話通話或生物特征驗證由服務提供商通過 API 集成提供并按照請求進行支付，如果攻擊成功可導致拒絕服務后果或運營成本上升。

API 5：無效的功能級授權

具有不同層次結構、組和角色的復雜訪問控制策略，以及管理功能和常規功能之間的不明確分離，往往會導致授權缺陷。通過利用這些問題，攻擊者可以訪問其他用戶的資源和/或管理功能。

API 6：對敏感業務流程的無限制訪問

易受到此風險影響的 API 會暴露業務流（例如買票或發布評論），而不會彌補如果以自動化方式過度使用，該功能如何對業務造成損害，這一風險不一定源自實現問題。

API 7：服務器端請求偽造

當 API 在沒有驗證用戶所提供 URI 的情況下提取遠程資源時，可能就會引發服務器端請求偽造 (SSRF) 缺陷，這可以可使攻擊者誘騙應用程序將構造的請求發送給未預期目的地，甚至即使受到了防火墻或 VPN 的保護也是如此。

API 8：安全配置錯誤

API 和支持它們的系統通常包含復雜的配置，旨在使 API 更具可定制性。軟件和 DevOps 工程師可能會錯過這些配置或者在配置時不遵循安全最佳實踐，從而為不同類型的攻擊打開了大門。

API 9：清單管理不當

與傳統的 Web 應用程序相比，API 往往會公開更多的端點，因此正確和更新的文檔非常重要。主機和已部署 API 版本的適當清單對于緩解已棄用的 API 版本和公開的調試終結點等問題也很重要。

API 10：不安全的 API 消耗

開發人員偏向于信任從第三方 API 接收的數據而不是用戶輸入的數據，因此傾向于采用較弱的安全標準。為了破壞 API，攻擊者會攻擊集成的第三方服務，而不是試圖直接破壞目標 API。

參考：

https://owasp.org/API-Security/editions/2023/en/0x11-t10/