OWASP Top 10十七年演变史

自2003年发布首个版本以来,OWASP Top 10在17年间发布了6个版本 (2003 – 2004 – 2007 – 2010 – 2013 – 2017)。而当前最新版本仍然是2017版:https://owasp.org/www-project-top-ten/ 。这就2020年了,可以期待一下今年会不会发布新版 🙂

根据官网的描述:

OWASP Top 10是针对开发人员和Web应用程序安全性的标准安全意识文档。 它代表了对Web应用程序最严重的安全风险的广泛共识。
公司应采用此文档,并开始确保其Web应用程序将这些风险降至最低的过程。 使用OWASP Top 10可能是将组织内的软件开发文化转变为产生更安全代码的文化的最有效的第一步。

让我们来看看过去的6个版本都有哪些变化:

可以看到,伴随着互联网浪潮,注入漏洞 (Injection) 一路水涨船高,近三个版本更是牢牢占据榜首。2017年版新增了三种漏洞类型:XML外部实体 (XXE)、不安全的反序列化 (Insecure deserialization)、不足的日志记录和监控 (Insufficient logging and monitoring)。

对这些漏洞的具体解读,推荐大家阅读OWASP Top 10中文翻译项目组的作品:http://www.owasp.org.cn/owasp-project/2017-owasp-top-10

对于企业信息安全建设,从来没有终点,希望所有安全相关从业者都关注对照OWASP Top 10,利用好最佳实践,结合自身环境,多方位持续性地自查风险、改善,采取有重点的保护防范措施,在人、技术(工具)、流程三个维度提高业务系统安全性。

 1,014 total views,  2 views today

安全扫描技术操作规范

安全组会使用多种安全工具(免费、商业、自研),周期性地执行以下技术安全扫描操作:

项目说明周期工具
读写共享文件夹扫描Everyone可读的共享文件夹存在数据泄漏风险;Everyone读写权限的共享文件夹易成为病毒传播的媒介每周SoftPerfect Network Scanner 6.2.1
授权:免费
Windows弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Medusa
授权:开源
SQL弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Hydra
授权:开源
未加域机器扫描机器不加入公司域会造成组策略、登录脚本和安全更新无法应用到主机每周Microsoft Baseline Security Analyzer (MBSA)
授权:免费
系统漏洞扫描使用非特权账号,对所有开放的TCP/UDP端口执行网络扫描,根据漏洞数据库检查发现已知漏洞每月OpenVAS
授权:开源
防火墙规则扫描检查可能的防火墙规则配置错误,避免不应该开启的端口曝光在公网上每月ScanLine
授权:免费
防病毒软件安装扫描检查Windows平台防病毒软件安装情况每月Trend Micro Vulnerability Scanner
授权:随安全产品捆绑
微软补丁应用扫描检查Windows平台Service Pack和Hotfix应用情况每月Microsoft Baseline Security Analyzer (MBSA)
授权:免费
域用户登录扫描未使用域帐号登录操作系统会造成组策略、登录脚本和安全更新无法应用到主机每月PsLoggedOn
授权:免费
数据库安全扫描检查数据库服务器不安全的参数配置,并建议安全最佳做法每月(内部服务)
每周(对外服务)
SQLdict
授权:免费
Scuba
授权:免费
Microsoft Baseline Security Analyzer (MBSA)
授权:免费
Web应用安全扫描对Web应用进行安全扫描,防止可能的黑客对我们的应用未经授权的访问并窃取敏感数据
参考:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
按需/每季度Arachni
授权:开源
OWASP Zed Attack Proxy (Paros Proxy)
授权:开源
Acunetix Web Vulnerability Scanner
授权:评估版
Netsparker Web Vulnerability Scanner
授权:评估版

 1,054 total views,  2 views today

一套系统漏洞管理办法

漏洞管理介绍

目标:根据漏洞管理成熟度模型(下图),在Q2实现Level 1-2的成熟度(基本流程、基础指标、定期扫描),在Q3-Q4实现Level 3的成熟度(基于风险的优先级判断、趋势)。在2019年度实现或接近Level 4-5的成熟度(全设备管理、防范APT攻击;与业务目标协同、持续修复):

范围:

  • 数据中心:服务器、网络设备、各业务系统
  • 办公室:办公电脑、IT服务器、网络设备(包括VoIP话机、IoT设备)
  • 云平台:阿里云、腾讯云
  • 终端:小黑鱼iOS、Android客户端

流程:

  • 识别资产(服务器、网络设备、应用)并根据部门分类
  • 使用漏洞扫描器查找已知漏洞并确定风险等级
  • 确认漏洞上报平台(内部、外部)或威胁情报平台提交的漏洞并确定风险等级
  • 漏洞修复
    • 测试补丁/方案
    • 应用补丁/方案至生产环境
  • 漏洞修复重扫/确认
  • 知识沉淀(知识库、流程/配置优化)

方法:

评价指标:

  • 平均检测时间 (MTTD)
  • 平均响应时间 (MTTR),或平均修复时间
  • 扫描覆盖率
  • 暴露窗口期
  • 未修复的高危漏洞数
  • 经授权暂不修复的漏洞数
  • 漏洞重启率
  • 不含任何高危漏洞的系统数

漏洞上报奖励办法

外部”白帽子”版本:略

内部员工版本:略

注:奖励标准内、外部保持一致。

漏洞提交模板

漏洞标题:

漏洞类型:

  • 应用漏洞:上传类漏洞、代码执行、SQL注入、XSS攻击、CSRF、逻辑类漏洞、信息泄露
  • 系统漏洞:服务器端口漏洞、信息泄露、代码执行、权限提升
  • 终端漏洞:越权访问、信息泄露、逻辑错误、组件漏洞
  • 安全事件:安全情报、入侵事件
  • 其他

关联系统:

漏洞详情:

  • 详细说明
  • 漏洞证明
  • 修复方案

时间表

TBD

流程图

漏洞提交

安全测试申请(新上线扫描、漏洞复测)

修复申请(已知漏洞修复、”豁免”漏洞修复)

 1,175 total views,  6 views today

系统漏洞扫描自动化平台实现可能性的简单评估

经过评估,当时选出的候选工具如下。后面就看如何整合了:

工具类型地址说明
巡风基于网络https://github.com/ysrc/xunfeng指定高危漏洞的快速扫描
OpenVAS基于网络http://www.openvas.org/SCAP: NVT, CVE, CPE, OAVL
CERT: CERT-Bund, DFN-CERT
Lynis基于主机https://cisofy.com/lynis/本机加固辅助工具,集中化展示需Lynis Enterprise企业版

需求:

  • 资产(IP)自动发现
  • 漏洞扫描

工具评估:

https://www.ocsinventory-ng.org (with GLPI or FusionInventory)

http://www.open-audit.org/

评估结果:仅资产管理功能

Microsoft Assessment and Planning Toolkit (软件资产管理)

评估结果:仅资产管理功能,可生成完整软件安装列表

SeMF:https://gitee.com/gy071089/SecurityManageFramwork 

评估结果:抓取信息维度不够(仅IP)、扫描器暂时只支持Nessus 6已停售,新项目

巡风:https://github.com/ysrc/xunfeng

评估结果:资产发现+漏洞扫描(自定义插件)。捕获信息全

注:Zabbix Agent侦听端口10050需添加例外或在iptables中禁止 

iptables -A OUTPUT -p tcp –dport 10050 -j DROP
iptables -A OUTPUT -p tcp –dport 10051 -j DROP

OpenVAS: http://www.openvas.org/ 

评估结果:中危以下漏洞较多,建议闭源的Nessus或其他商业扫描器

Vuls: https://github.com/future-architect/vuls 

评估结果:检出率一般

Lynis: https://cisofy.com/lynis/ 

评估结果:本机加固辅助工具,扫描结果集中化展示需Lynis Enterprise企业版

 831 total views,  5 views today