1、蒃 CWE 與 OWASP 對比分析報告羋-研究 CWE 和 OWASP 的關系。歸納目前為止，雙方總結的軟件缺陷的類別。薅 CWE 和 OWASP 的關系羀 CWE ( Common Weakness Enumeration)指“一般弱點列舉”，它是由美國國家安全局首先倡議的戰略行動。 在 CWE 站點上列有 800 多個編程 、設計和架構上的錯誤 ，CWE 文檔首先列舉的是針對程序員最重要的25項(Top 25 )，同時也是軟件最容易受到攻擊的點，從而幫助他們編寫更安全的代碼。同時文檔還適用于軟件設計師、架構師、甚至CIO ，他們應該了解這些可能出現的弱點，并采取恰當的措施。蚅 OWASP

2、 ( Open Web Application Security Project )指“開源 web 應用安全項目” 它是由一個開放性社區倡議的項目， 致力于幫助各組織開發、 購買和維護可信任的應用程序。 Top 10 項目的目標是通過確定企業面臨的最嚴重的威脅來提高人們對應用安全的關注度。 使用 OWASP Top 10 可以讓企業了解到應用安全。開發人員可以從其他組織的錯誤中學 習。執行人員能開始思考如何管理企業中軟件應用程序產生的風險。莇相較之 CWE 與 OWASP ， CWE 的 Top 25 的覆蓋范圍更廣，包括著名的緩沖區溢出缺 陷。 CWE 還為程序員提供了編寫更安全的代碼所需

3、要的更詳細的內容。OWASP 更加關注的是 web 應用程序的安全風險，這些安全風險易被攻擊者利用，使得攻擊者方便地對web應用程序進行攻擊。?？傊?，兩者區別在于，CWE更加站在程序員的角度，重點關注的是軟件開發過程，即編程時的漏洞，這些漏洞最終會造成軟件不安全，使得軟件易被攻擊。而OWASP更加站在攻擊者的角度，思考當今攻擊者針對web應用軟件漏洞采取的最常用攻擊方式，從而提高開發者對應用安全的關注度。 兩者關注的都是軟件存在的風險， 軟件開發者都應該深入研究, 了解軟件存在的風險及其預防、矯正。四.腿總結CWE和OWASP的軟件缺陷類別 （重點歸納CWE-Top 25和OWASP-Top1

4、0軟件缺陷類別）1 .L14J1 56CWE129Improper Validation of Array Index151 55CWE754Improper Check for Unusual or Exceptional Conditions161 54CWE209Informatioin EKpoure Through an Error Messagt1715斗CWE190Integer Overflow or WraparoundIB151CWE131Incorrect Cakulauon of Buffer Size19147CWE306Missing Authenticaticn

5、for Critical Function146CWE-494145CWE-7322.莆 CWE-Top 25Rank Score34CWE-IDCWE-79CWE-B9Nam-eFailure to Preserve Web Page Structure (Xrass-site Scripting")Improper Sanrtizacian of Special Elements used in an SQL ComtriAn日 CSQL Injection1)3ISO17ZCWE-120Buffer Copy without Checking Size of Input CCI

6、iassic Buffer Overflow4261CWE-352Cross-Site Request Forgery (CSRF219CWE-285Improper Access Control (Autharization)6202CWE-fiO7Reliance on Untrijsted Inputs in a Security Deci si an197CWE-22Improper LirnitAtion of a Pathname to a Restricted Directory (Tath Traversal')IB194CWE-434Unrestricted Uplo

7、ad of File with Dan>gerau& Type1S8CWE-7BImproper 5<aniitiizadcn af Special Elements used in an OS Command ("05 CommandInjection)101 88CWE-311Missing Encryption of Sensitive Data111 76CWE-798Use af Hard-eodled Credentials12158CWE-S05Buffer Access with Incanect Length Value13157cwE-seIm

8、proper Control of F«llenaim電 for Include Require Stacemenc inFile Inclusion")145CWE-770142CWE-601141CWE-3271 38OTE-3622 2 2 2 2 2 rL rL rL- rL rL rLDownload af Code Without Integrity CheckIncorrect Permissior Assignment for Critical Resource Allaction nF ResourceWithout Limits or Throttlin

9、g URL Redirection to Untvusted Site ( Open Redirect) Uie of n Broken or Risky Cryptographic Algorithm Race 匚ondition螂這25個錯誤可以分成三種類型：組件之間不安全的交互（8個錯誤），高風險的資源管理（10個錯誤）以及滲透防御（porous defenses ） （ 7個錯誤）。薇組件之間不安全的交互，通常是開發團隊非常龐大的直接結果。一個應用程序中的不同組件由不同的開發人員編寫，在該應用程序完成和部署之前，他們通常很少交流。為了減少這種類型的錯誤， 所有的代碼都要用文檔記錄清楚，

10、這樣做至關重要。 文檔內容應該包括代碼是干什么的、這些代碼被調用時有哪些前提假設、為什么要用到這些假設、怎樣使用這些假設等等。膅通過確認和測試這些假設沒有被違背，可以消除應用程序中的許多缺點。列出一個特殊 組件參考的代碼也很重要。這種交叉參考有助于確保部件的變化不會破壞其他地方的假設和 邏輯，這樣審查人員可以更容易看到或者理解哪些流程或者業務控制應該進行規避。為了確保此項文檔和確認工作得到實施，應該把它作為設計和創建要求的組成部分。羅開發人員通常不會意識到他們在應用程序中添加的特殊特點和功能具有安全隱患。威脅建模是解決這個安全性與實用性問題的好方法。它不僅可以提高開發人員的安全意識，而且還使應

11、用程序安全成為應用程序設計和開發過程的組成部分。這是縮小安全人員與開發人員之間專業知識差距的一個很好的辦法。衿滲透防御是項目管理拙劣或者項目資金不足的反應。如“敏感數據缺少加密”和“關鍵功能缺少身份認證”，許多開發人員沒有掌握如何創建運行在惡劣互聯網環境中的應用程序 的方法。開發人員沒有明白，他們不能依靠防火墻和負責應用程序安全的IDS （入侵檢測系統），他們也需要對安全負責。3.4. 艿 OWASP-Top 10OWASP Top 10 -2010 （新版*Al璉入心Ta2 -蹲前與薊X55） 2A3 -矢效的認證和會話管理“A4 -不安全的直接對彖引映 心-跨苑埼康偽苣（CSRFh'

12、;A6 -安全B2賽錯罠價EWK1A7 -限制URL訪間共效AS -肖未船證的垂定向和轉發（新丁 A9-不安全的瓷碼議藏傳裁層保護不足"_羄芀從 Top 10 可以看出， OWASP 認為應用的安全風險與 威脅動因( Threat Agent )、攻擊 向量(Attack Vectors )、 安全脆弱性(Security Weakness)、安全控制(Security Controls )、 技術影響(Tech nical Impacts )、商業影響(Bus in ess Impact)這五項相關。螇羇其中，商業影響可以近似認為是與資產(Assets、相關，威脅動因可以近似認為是與威脅(Threat、相關。但是由于威脅動因和商業影響都是與具體環境相關、而且難以量化，所以OWASP解釋“What's My Risk? ”的時候這兩部分都用問號代替。也就是說，OWASP2010 中給出的量化評分是不包含與威脅相關的威脅動因以及與資產相關的商業影響。肄風險的公式是指 Risk = f (Threat, Vulnerability, Assets )， 如果等式的右邊去掉