当前位置:网站首页>Owasp 2021 Top 10 ajouté à la norme cwe4.6

Owasp 2021 Top 10 ajouté à la norme cwe4.6

2021-11-25 17:22:00 Huawei Cloud Developer Community

Résumé: Nouvelle sortieCWE4.6Critères,Oui.OWASP 2021 TOP10Vue de.

Cet article est partagé par Huawei Cloud Community《CWE 4.6 Et OWAPS TOP10(2021)》,Auteur: Uncle_Tom.

1. CWE 4.6

CWEMise à jour de,Pas à cause de l'épidémie,Toujours en vie chaque année3-4Vitesse de mise à jour des versions,Voir l'importance de la sécurité des logiciels.Au début du mois4.6La version arrive comme prévu.Regardons cette mise à jour,Quels sont les points saillants?.

1.1. CWE V4.5 vs V4.6

Il est souvent possible de comparer deux points de vueCWEModification de la version,Obtenez rapidement des informations approximatives sur les différences.

1.1.1. CWEVariation du type et du nombre de noeuds

ChaqueCWEUn noeud de classification qui représente une faiblesse par un numéro unique,Chaque noeud détermine son type de noeud par son type,Total8Différents types de noeuds. Par conséquent, le changement de nombre de chaque type de noeud peut refléter directement la taille et la façon dont cette version change.. Chaque version a un lien qui reflète les changements dans le nombre de noeuds .

Commençons par les deux prochaines versionsCWEDifférence dans le nombre de noeuds:

Les différences de ce tableau,C'est facile à voir.:

  • Faiblesse(Weakness)Deux.Pour l'instantCWEC'est déjà fait.15Évolution vers,Essentiellement stable, Il n'y aura pas trop CWE Augmentation du nombre de noeuds pour la classe de vulnérabilité ;
  • Voir(View)Deux.Les points de vue des chercheurs sont différents, Une vue sous - agrégée de certaines faiblesses . Sous la vue , Généralement classé (Category)Noeud à une sorte de faiblesse(Weakness)Une classification de. Donc l'augmentation de la vue , Généralement accompagné d'une classification (Category)Augmentation des noeuds, Cette fois, c'est plus20Catégories(Category)Noeud.

Note:,À propos deCWEDescription du noeud,Voir《Les motsCWE 4.2Nouvelle vue de》.

1.1.2. DeCWE XML schemaVoir le changementCWE 4.6Changement de

CWEToutes les informations surXMLDéfinition du format enregistrer,Donc la définitionxmlFormatschemaDocumentationxsd,C'est devenu un aperçuCWELa meilleure façon de changer la structure.

Chaque foisCWEVersion de, Il y aura un lien pour voir SchemaChangement de, Vous pouvez également comparer directement les deux versions deSchema.

  • Comparer deux versions deschemaDocumentation,Il n'y a que deux changements,Comme le montre la figure ci - dessous::

    • Valeur d'énumération de la méthode de détection(Detection Method Enumeration)Changement de
      • Ajouté"Validation formelle(Formal Verification)".La méthode formelle a commencé à passer progressivement de l'apprentissage à l'application pratique., Mais une approche formelle peut encore entraîner des coûts de validation élevés;
      • Ajouté"Simulation/Simulation(Simulation / Emulation)". Cette méthode est habituellement utilisée pour vérifier la sécurité du matériel.
    • Valeur d'énumération de validité()Changement de
      • Ajouté"Pratiques courantes découragées(Discouraged Common Practice)". C'est - à - dire que cette mesure d'atténuation de la sécurité est inefficace,Non recommandé.Évitez de prendre l'habitude de penser que ça marche,Des mesures de sécurité qui ne fonctionnent pas vraiment, Prévenir le travail inefficace causé par la pensée habituelle .

1.1.3. NouveauCWENoeud

  • CWE-1341(Libérer à plusieurs reprises la même ressource ou la même poignée(Multiple Releases of Same Resource or Handle))

Comme le montre la figure,CWE-1341(Libérer à plusieurs reprises la même ressource ou la même poignée), Situé à:CWE-710(Violation des spécifications de programmation) --> CWE-675(Opération répétée sur la ressource)En bas.C'est un problème de mémoire familier:CWE-415(Double libération)Au - dessus de. La raison de l'augmentation de ce noeud,En plus de la double libération de mémoire,Il existe également un problème de double libération des ressources ou des poignées de fichiers. Pour distinguer deux scénarios différents , Ce nouveau noeud a été ajouté à la subdivision .

Par exemple, le code suivant,Lors de la deuxième sortie du gestionnaire de fichiers,Renvoie une valeur d'erreur.

char b[2000];
FILE *f = fopen("dbl_cls.c", "r");
if (f)
{
    b[0] = 0;
    fread(b, 1, sizeof(b) - 1, f);
    printf("%s\n'", b);
    int r1 = fclose(f);
    printf("\n-----------------\n1 close done '%d'\n", r1);

    int r2 = fclose(f); // Double close
    printf("2 close done '%d'\n", r2);
}
  • CWE-1342(Fuite d'information causée par l'état de la micro - architecture après l'exécution instantanée(Information Exposure through Microarchitectural State after Transient Execution))

Processeur à l'aide de micro - instructions incorrectes(microcode assists)Ou l'exécution des prévisions(speculative execution)Après,Le processeur n'a pas correctement effacé l'état de la Microarchitecture,Ce qui entraîne une fuite d'information.Cette trace d'exécution instantanée peut rester dans le tampon de Microarchitecture,Ce qui entraîne des changements dans l'état de la microstructure,Un attaquant peut utiliser l'analyse des canaux latéraux pour obtenir des informations sensibles.Par exemple,Injection de valeur de charge (LVI) REF-1202 Les valeurs d'erreur peuvent être injectées directement dans les tampons de chargement et de stockage intermédiaires.

Note::Cette question appartient àCPUProblèmes liés à l'ensemble d'instructions architecturales et à la conception,Ce n'est pas mon domaine de recherche,Skip.

1.1.4. Nouvelles vues

  • CWE-1343(2021Les faiblesses matérielles les plus importantes(Weaknesses in the 2021 CWE Most Important Hardware Weaknesses List))
    Ce n'est pas mon domaine de recherche,Skip.
  • CWE-1344(OWASP 2021 TOP10 Faiblesse(Weaknesses in OWASP Top Ten (2021)))
    Cette vue reflèteOWASP Publié en septembre OWASP TOP10 (2021). C'est...OWASP Depuis2017 Après des années,Quatre ans d'intervalle,Release againTOP10.Ensuite, concentrons - nous sur cette vue.

2. CWE-1344 OWASP TOP10(2021)

WebProjet de sécurité des applications(Open Web Application Security Project (OWASP))C'est une communauté ouverte, La communauté s'est engagée à faire en sorte que les organisations、Applications achetées et entretenues etapi,Peut être fiable.

OWASPDéjà dans:2004,2007,2010,2013,2017,Publié successivementOWASP TOP10,IndiqueWebProblèmes de sécurité à haut risque dans les logiciels d'application,
Et pour chaque vulnérabilité selon son incidence、Capacité de détection、Impact et disponibilité,Pour aider les organisations à prioriser les vulnérabilités,Attention、Compris.、Identification correcte、Atténuer les dommages causés par ces vulnérabilités dans l'application. Entre - temps, les exigences relatives à la détection de ces problèmes de sécurité à haut risque par les fabricants d'outils d'essai sont également proposées..

2.1. OWASP TOP10(2021)

2.2. OWASP2017Et2021 TOP10Changement de

OWASP2017Et2021 TOP10Changement de,Comme le montre la figure ci - dessous::

2.2.1. A01:2021-Interruption du contrôle d'accès

Passer de la cinquième à la première place.Les données montrent que,En moyenne,3.81%Les applications testées pour ont un ou plusieursCWE,Parmi euxCWELe nombre d'occurrences dans cette catégorie de risque dépasse31.810 000 fois.Cartographié au problèmeCWEJusqu'à34- Oui.,C'est une carte.CWE La plus grande catégorie .

2.2.2. A02:2021-Défaut de chiffrement

Comparaison2017Un an plus tard,En deuxième position,Anciennement connu sous le nom deA3:2017-Fuite de données sensibles, La fuite de données sensibles est l'expression d'un problème , Pas la cause profonde . Nom mis à jour , Concentrez - vous sur les causes profondes des erreurs liées au chiffrement .Ces catégories entraînent généralement des fuites de données sensibles ou des fuites de systèmes..

2.2.3. A03:2021-Injection

De2017Le premier de l'année,Glissez à la troisième place.La couverture des tests de l'application pour ce type de problème atteint94%,L'incidence maximale est de19%,L'incidence moyenne est de3.37%,Mapping to this Category33- Oui.CWEIn27.4 Le deuxième taux le plus élevé de 10 000 applications .Dans cette version, Les problèmes de script inter - stations sont attribués à une sous - classe de cette catégorie .

2.2.4. A04:2021-Conception dangereuse

C'est...2021Nouvelles catégories pour l'année,L'accent est mis sur les risques associés aux défauts de conception.En tant que"Sécurité à gauche"Entreprises recherchées,Besoin de modéliser davantage les menaces、Modèles et principes de conception sécuritaires et architecture de référence.

Ça se répand ici , Si vous voulez résoudre le problème de sécurité du logiciel dans une large mesure , Le concept de déplacement sûr à gauche ne se réfère pas seulement au déplacement à gauche vérifié , Mais plus à gauche , Extension au design . Ceci est également mentionné ci - dessus en utilisant la modélisation des menaces 、 Modèles et principes de conception de la sécurité , Et l'utilisation du module de sécurité , Terminer la défense en profondeur de la sécurité du logiciel à l'avance .Foritfy L'épine dorsale technologique de Brian Chess Avec Jacob West J'ai écrit un livre 《 Assurer la sécurité de la programmation par des méthodes d'analyse statique (Secure Programming with Static Analysis)》,Il est mentionné dans le livre“ La moitié des problèmes de sécurité découlent de la conception du logiciel , Plutôt que le code source .”.Nous devons être conscients, Les systèmes mis au point par des concepteurs non conscients de la sécurité sont très dangereux .Les conceptions dangereuses ne peuvent pas être réparées par une mise en œuvre parfaite,La sécurité découle de la conception.

2.2.5. A05:2021-Erreur de configuration de sécurité

De la sixième à la cinquième place dans la dernière édition.90%Toutes les applications ont subi une sorte de test d'erreur de configuration,L'incidence moyenne est de 4.5%,Et il y a plus de 20.810 000 fois CWE Cartographie de cette catégorie de risque.Alors que de plus en plus de gens se tournent vers des logiciels hautement configurables, Il n'est pas surprenant que ce type de problème ait tendance à augmenter .Dans cette version,A4:2017-XML Entités externes(XXE)Une sous - classe classée dans cette catégorie.

2.2.6. A06:2021-Composants vulnérables et obsolètes

2017Année"Utilisation de composants présentant des vulnérabilités connues",Cette catégorie vient de2017La neuvième place est passée à la sixième,Est un problème connu que nous avons du mal à tester et à évaluer les risques.C'est le seul qui n'a pas divulgué de vulnérabilités communes(CVE) Mapping to contained CWE Catégorie,Par conséquent, les valeurs par défaut sont utilisées pour l'exploitation et les poids d'impact5.0.

2.2.7. A07:2021-L'identité et l'authentification ont échoué

2017- Oui."Authentification interrompue",Glissez de la deuxième position à la septième position.Plus pertinent pour l'échec de l'identification CWE.Cette catégorie reste la précédente10Une partie indispensable du nom, Amélioration de la disponibilité d'un cadre d'authentification normalisé pour l'identification et l'authentification , .Cela semble avoir contribué à réduire ce type de problèmes .

2.2.8. A08:2021-Défaillance du logiciel et de l'intégrité des données

2021Nouvelles catégories pour l'année,Mettre l'accent sur les mises à jour logicielles sans vérifier l'intégrité、Données clés et CI/CD Hypothèses relatives aux pipelines.Ce genre de problème estCVE/CVSSLa valeur d'influence la plus élevée.Dans cette version,A8:2017-Désérialisation non sécurisée incorporée dans cette catégorie.

2.2.9. A09:2021-Enregistrement de sécurité et surveillance des défaillances

2017DeA10:2017-Enregistrement et surveillance insuffisants, Passer de la dixième à la neuvième place .Cette catégorie a été étendue pour inclure plus de types de défauts,Les tests sont difficiles,Et dans CVE/CVSS Les données ne représentent pas bien.Mais,Les défauts dans cette catégorie peuvent affecter directement la visibilité、Alarmes d'événements et preuves.

2.2.10. A10:2021-Demande de falsification côté serveur

2021Nouveau type ajouté.Les données montrent, L'incidence est relativement faible ,Couverture des tests supérieure à la moyenne,Vulnérabilité et potentiel d'impact supérieur à la moyenne.

3. RÉFÉRENCES

  • https://cwe.mitre.org/data/reports/diff_reports/latest.html
  • https://cwe.mitre.org/data/definitions/1344.html
  • https://owasp.org/Top10/
  • https://github.com/OWASP/Top10

 

Cliquez sur suivre,Pour la première fois, découvrez la nouvelle technologie Huawei Cloud~

版权声明
本文为[Huawei Cloud Developer Community]所创,转载请带上原文链接,感谢
https://chowdera.com/2021/11/20211125171653797u.html

随机推荐