图文并茂的详细内容至自个人部落格 : 【程式开发笔记】轻大风险，开放网路软体安全计画 (OWASP TOP 10) - 大漠国渡 鬆了解网站安全10

前言

近日开发新的系统，即将要系统上线，程式码需要做系统安全弱点扫描，确保上线后，不会轻易的被骇客攻破，在此期间做了许多的功课，学习如何透过工具扫描，以及排除问题，因此想再做笔记，并分享给有需要的人。

接下来我会分三个步骤分享

第一步，我了解先 OWASP TOP 10 是甚么?
第二步，我使用开源软体 SonarQube 进行源码检测，找出系统是否有符合 OWASP TOP 10 项目，以及其它弱点。
第三步，参考 SonarQube 检测后，提供的修正方式，进行修正。

开放网路软体安全计画

开放网路软体安全计画，简称 OWASP （Open Web Application Security Project），是一个开放社群、非营利性组织提出的计画。

而 OWASP TOP 10 为其中一项计划，此计画会统计骇客每 3 - 5 年中最常使用的攻击手法前 10 名，因此只要避开前 10 名，系统相对的就更安全。

攻击手法前 10 名平均 3 - 5 年会更新一次，也就是说可能会有新的攻击方式，需要开发者持续关注。

接下来将以 2021 年发布的 OWASP TOP 10 进行说明。

十大网路应用系统安全弱点 (OWASP TOP 10)

(一)、A1 Broken Access Control (权限控制失效)

是指使用者权限管理失当，比方说系统一般使用者，不应该看到系统者管理的相关功能，或者是没有任何权限的管理。

(二)、A2 Cryptographic Failures (加密机制失效)

对于网站来说是指资料传输未经加密，简单说就是未使用 TLS 加密连线。

(三)、A3 Injection (注入式攻击)

骇客可以透过特定资料形式，改变系统指令，造成系统无法正常执行，甚至可能洩漏重要资讯。

(四)、A4 Insecure Design (不安全设计)

是指设计者撰写程式时逻辑错误，可能造成使用者可以绕过系统检核，以不合格的条件「申请资料」或「取得优惠」...等。

(五)、A5 Security Misconfiguration (安全设定缺陷)

是指安全性上设定不良，比方说密码长度、複杂度皆未要求，使用者可以以非常简短的密码申请帐号((如:1234)，对骇客来说可以非常轻易地窃取该帐号资料。

(六)、A6 Vulnerable and Outdated Components (危险或过旧的元件)

开发程式不会所有的程式都是自己撰写的，会使用他人开发的套件货元件，如果是过旧的元件可能有漏洞，但在新版本的套件或元件上是有修复的，所以建议不要使用过旧的套件或元件。

(七)、A7 Identification and Authentication Failures (认证及验证机制失效)

为了资讯安全，登入系统时，除了帐号密码验证外，可能还会做手机验证。

(八)、A8 Software and Data Integrity Failures (软体及资料完整性失效)

如果你设计的系统里面留了一个后门功能，那你的整的系统其实就暴露了相当大的风险，是不完整的，就算其他部分验证机制在强大，仍是不安全的。

(九)、A9 Security Logging and Monitoring Failures (资安记录及监控失效)

是指系统有做资安记录及监控，但是没有人是察看监控及资料纪录，就算系统有发出警示，也没有人即时处理或立即的防範，让骇客可以持续攻破，意味着资安记录及监控失效。

(十)、A10 Server-Side Request Forgery (SSRF) (伺服端请求伪造)

假设你的系统架构中，有区分内网、外网，其他外网的部分对外防护相当强大，但是外网连线内网的部分，没有设置防护，骇客是有办法假装是外网伺服器发起的请求攻击内网伺服器的。