OWASP Top 10是由全球性非營利組織 OWASP(The Open Web Application Security Project),調查多家資安公司及組織的弱點與風險,總結出10個最常見的網站安全風險弱點,同時也提供了對應的防範方法給企業,減少網站安全漏洞的發生,OWASP Top 10的詳細介紹,可參閱什麼是OWASP TOP 10?如何檢測所有OWASP TOP 10 2021所規範的風險弱點。
而用於保護網路應用程式免受到網路攻擊和威脅的WAF,為了降低遭受網路攻擊的風險,增加數據安全性,關於為何需要使用WAF,可參閱何謂WAF?為什麼需要使用WAF? 同時,也特別針對 OWASP Top 10 2021漏洞採取以下的對應措施:
A1. 權限控制失效 :
控制訪問規則,確保只有經過授權的用戶可以訪問,阻止未經授權的訪問行為。
A2. 加密機制失效 :
監控數據傳輸防止敏感資訊洩漏,WAF可以檢測敏感資訊並採取加密或其他保護措施來加強用戶資訊的安全性。
A3. 注入式攻擊 :
使用特定規則檢測與防禦攻擊,透過分析請求中的參數與語法,且監視和過濾用戶,阻止惡意注入代碼的執行。
A4. 不安全的設計 :
通過檢查服務器與架構,並提供建議與修復措施。
A5. 不安全的設定配置 :
可以管理應用程式的安全配置,確保配置保持在最佳的安全性能。
A6. 易受攻擊和過時元件 :
檢測應用程式中的元件與版本,提供漏洞警告和建議,即時更新與修補受影響的元件。
A7. 身分認證、驗證失效 :
使用安全策略來檢測和阻止不安全的身分認證問題,監控與防止密碼猜測,確保身分認證過程的安全性。
A8. 軟體和資料完整性錯誤 :
實施完整性檢查,檢測數據有無被修改的跡象,並阻止惡意操作,保護軟體和資料的完整性。
A9. 資安紀錄和監控失效 :
建立全面的資安記錄與監控機制,檢測警報和日誌分析,即時發現潛在攻擊。
A10. 伺服器端請求偽造SSRF :
對傳入的請求進行驗證及過濾,監測網站的網路流量和行為模式,減少SSRF攻擊的潛在風險。
除了開啟WAF阻擋部分OWASP Top 10所定義的漏洞之外,平時備份資料須在安全、經過授權的環境下存儲加密,且提供定期的安全意識教育,使員工了解常見的安全威脅和攻擊方法,更要定期使用OKWASP掃描系統弱點,並即時完成弱點修復,才能將資安防護做到更全面。