cwe和owasp對比分析軟件缺陷的類別

1、蒃 CWE 與 OWASP 對比分析報(bào)告羋-研究 CWE 和 OWASP 的關(guān)系。歸納目前為止，雙方總結(jié)的軟件缺陷的類別。薅 CWE 和 OWASP 的關(guān)系羀 CWE ( Common Weakness Enumeration)指“一般弱點(diǎn)列舉”，它是由美國國家安全局首先倡議的戰(zhàn)略行動。 在 CWE 站點(diǎn)上列有 800 多個(gè)編程 、設(shè)計(jì)和架構(gòu)上的錯(cuò)誤 ，CWE 文檔首先列舉的是針對程序員最重要的25項(xiàng)(Top 25 )，同時(shí)也是軟件最容易受到攻擊的點(diǎn)，從而幫助他們編寫更安全的代碼。同時(shí)文檔還適用于軟件設(shè)計(jì)師、架構(gòu)師、甚至CIO ，他們應(yīng)該了解這些可能出現(xiàn)的弱點(diǎn)，并采取恰當(dāng)?shù)拇胧ＭL OWASP

2、 ( Open Web Application Security Project )指“開源 web 應(yīng)用安全項(xiàng)目” 它是由一個(gè)開放性社區(qū)倡議的項(xiàng)目， 致力于幫助各組織開發(fā)、 購買和維護(hù)可信任的應(yīng)用程序。 Top 10 項(xiàng)目的目標(biāo)是通過確定企業(yè)面臨的最嚴(yán)重的威脅來提高人們對應(yīng)用安全的關(guān)注度。 使用 OWASP Top 10 可以讓企業(yè)了解到應(yīng)用安全。開發(fā)人員可以從其他組織的錯(cuò)誤中學(xué) 習(xí)。執(zhí)行人員能開始思考如何管理企業(yè)中軟件應(yīng)用程序產(chǎn)生的風(fēng)險(xiǎn)。莇相較之 CWE 與 OWASP ， CWE 的 Top 25 的覆蓋范圍更廣，包括著名的緩沖區(qū)溢出缺 陷。 CWE 還為程序員提供了編寫更安全的代碼所需

3、要的更詳細(xì)的內(nèi)容。OWASP 更加關(guān)注的是 web 應(yīng)用程序的安全風(fēng)險(xiǎn)，這些安全風(fēng)險(xiǎn)易被攻擊者利用，使得攻擊者方便地對web應(yīng)用程序進(jìn)行攻擊。螅總之，兩者區(qū)別在于，CWE更加站在程序員的角度，重點(diǎn)關(guān)注的是軟件開發(fā)過程，即編程時(shí)的漏洞，這些漏洞最終會造成軟件不安全，使得軟件易被攻擊。而OWASP更加站在攻擊者的角度，思考當(dāng)今攻擊者針對web應(yīng)用軟件漏洞采取的最常用攻擊方式，從而提高開發(fā)者對應(yīng)用安全的關(guān)注度。 兩者關(guān)注的都是軟件存在的風(fēng)險(xiǎn)， 軟件開發(fā)者都應(yīng)該深入研究, 了解軟件存在的風(fēng)險(xiǎn)及其預(yù)防、矯正。四.腿總結(jié)CWE和OWASP的軟件缺陷類別 （重點(diǎn)歸納CWE-Top 25和OWASP-Top1

4、0軟件缺陷類別）1 .L14J1 56CWE129Improper Validation of Array Index151 55CWE754Improper Check for Unusual or Exceptional Conditions161 54CWE209Informatioin EKpoure Through an Error Messagt1715斗CWE190Integer Overflow or WraparoundIB151CWE131Incorrect Cakulauon of Buffer Size19147CWE306Missing Authenticaticn

5、for Critical Function146CWE-494145CWE-7322.莆 CWE-Top 25Rank Score34CWE-IDCWE-79CWE-B9Nam-eFailure to Preserve Web Page Structure (Xrass-site Scripting")Improper Sanrtizacian of Special Elements used in an SQL ComtriAn日 CSQL Injection1)3ISO17ZCWE-120Buffer Copy without Checking Size of Input CCI

6、iassic Buffer Overflow4261CWE-352Cross-Site Request Forgery (CSRF219CWE-285Improper Access Control (Autharization)6202CWE-fiO7Reliance on Untrijsted Inputs in a Security Deci si an197CWE-22Improper LirnitAtion of a Pathname to a Restricted Directory (Tath Traversal')IB194CWE-434Unrestricted Uplo

7、ad of File with Dan>gerau& Type1S8CWE-7BImproper 5<aniitiizadcn af Special Elements used in an OS Command ("05 CommandInjection)101 88CWE-311Missing Encryption of Sensitive Data111 76CWE-798Use af Hard-eodled Credentials12158CWE-S05Buffer Access with Incanect Length Value13157cwE-seIm

8、proper Control of F«llenaim電 for Include Require Stacemenc inFile Inclusion")145CWE-770142CWE-601141CWE-3271 38OTE-3622 2 2 2 2 2 rL rL rL- rL rL rLDownload af Code Without Integrity CheckIncorrect Permissior Assignment for Critical Resource Allaction nF ResourceWithout Limits or Throttlin

9、g URL Redirection to Untvusted Site ( Open Redirect) Uie of n Broken or Risky Cryptographic Algorithm Race 匚ondition螂這25個(gè)錯(cuò)誤可以分成三種類型：組件之間不安全的交互（8個(gè)錯(cuò)誤），高風(fēng)險(xiǎn)的資源管理（10個(gè)錯(cuò)誤）以及滲透防御（porous defenses ） （ 7個(gè)錯(cuò)誤）。薇組件之間不安全的交互，通常是開發(fā)團(tuán)隊(duì)非常龐大的直接結(jié)果。一個(gè)應(yīng)用程序中的不同組件由不同的開發(fā)人員編寫，在該應(yīng)用程序完成和部署之前，他們通常很少交流。為了減少這種類型的錯(cuò)誤， 所有的代碼都要用文檔記錄清楚，

10、這樣做至關(guān)重要。 文檔內(nèi)容應(yīng)該包括代碼是干什么的、這些代碼被調(diào)用時(shí)有哪些前提假設(shè)、為什么要用到這些假設(shè)、怎樣使用這些假設(shè)等等。膅通過確認(rèn)和測試這些假設(shè)沒有被違背，可以消除應(yīng)用程序中的許多缺點(diǎn)。列出一個(gè)特殊 組件參考的代碼也很重要。這種交叉參考有助于確保部件的變化不會破壞其他地方的假設(shè)和 邏輯，這樣審查人員可以更容易看到或者理解哪些流程或者業(yè)務(wù)控制應(yīng)該進(jìn)行規(guī)避。為了確保此項(xiàng)文檔和確認(rèn)工作得到實(shí)施，應(yīng)該把它作為設(shè)計(jì)和創(chuàng)建要求的組成部分。羅開發(fā)人員通常不會意識到他們在應(yīng)用程序中添加的特殊特點(diǎn)和功能具有安全隱患。威脅建模是解決這個(gè)安全性與實(shí)用性問題的好方法。它不僅可以提高開發(fā)人員的安全意識，而且還使應(yīng)

11、用程序安全成為應(yīng)用程序設(shè)計(jì)和開發(fā)過程的組成部分。這是縮小安全人員與開發(fā)人員之間專業(yè)知識差距的一個(gè)很好的辦法。衿滲透防御是項(xiàng)目管理拙劣或者項(xiàng)目資金不足的反應(yīng)。如“敏感數(shù)據(jù)缺少加密”和“關(guān)鍵功能缺少身份認(rèn)證”，許多開發(fā)人員沒有掌握如何創(chuàng)建運(yùn)行在惡劣互聯(lián)網(wǎng)環(huán)境中的應(yīng)用程序 的方法。開發(fā)人員沒有明白，他們不能依靠防火墻和負(fù)責(zé)應(yīng)用程序安全的IDS （入侵檢測系統(tǒng)），他們也需要對安全負(fù)責(zé)。3.4. 艿 OWASP-Top 10OWASP Top 10 -2010 （新版*Al璉入心Ta2 -蹲前與薊X55） 2A3 -矢效的認(rèn)證和會話管理“A4 -不安全的直接對彖引映 心-跨苑埼康偽苣（CSRFh'

12、;A6 -安全B2賽錯(cuò)罠價(jià)EWK1A7 -限制URL訪間共效AS -肖未船證的垂定向和轉(zhuǎn)發(fā)（新丁 A9-不安全的瓷碼議藏傳裁層保護(hù)不足"_羄芀從 Top 10 可以看出， OWASP 認(rèn)為應(yīng)用的安全風(fēng)險(xiǎn)與 威脅動因( Threat Agent )、攻擊 向量(Attack Vectors )、 安全脆弱性(Security Weakness)、安全控制(Security Controls )、 技術(shù)影響(Tech nical Impacts )、商業(yè)影響(Bus in ess Impact)這五項(xiàng)相關(guān)。螇羇其中，商業(yè)影響可以近似認(rèn)為是與資產(chǎn)(Assets、相關(guān)，威脅動因可以近似認(rèn)為是與威脅(Threat、相關(guān)。但是由于威脅動因和商業(yè)影響都是與具體環(huán)境相關(guān)、而且難以量化，所以O(shè)WASP解釋“What's My Risk? ”的時(shí)候這兩部分都用問號代替。也就是說，OWASP2010 中給出的量化評分是不包含與威脅相關(guān)的威脅動因以及與資產(chǎn)相關(guān)的商業(yè)影響。肄風(fēng)險(xiǎn)的公式是指 Risk = f (Threat, Vulnerability, Assets )， 如果等式的右邊去掉