2021 Owasp Top 10 逐个击破之A06:易受攻击和淘汰的组件
字数 2087 2025-08-12 11:34:00

OWASP Top 10 2021 A06: 易受攻击和淘汰的组件详解

1. 漏洞概述

A06: Vulnerable and Outdated Components(易受攻击和淘汰的组件)在2021年OWASP Top 10中排名第六位。该漏洞类别在产业调查中排名第二,但由于有足够的数据支持而被纳入前十。

关键数据指标

  • 可对照CWEs数量: 3
  • 最大发生率: 27.96%
  • 平均发生率: 8.77%
  • 最大覆盖范围: 51.78%
  • 平均覆盖范围: 22.47%
  • 平均加权漏洞/影响: 5.0/5.0
  • 出现次数: 30,457
  • 相关CVEs数量: 0(这是CWEs中唯一没有任何CVE对应的类别)

2. 相关CWE条目

主要的CWE包括:

  • CWE-1104: 使用未维护的第三方组件
  • 两个2013年度和2017年度前10名的CWEs(具体未指明)

3. 漏洞描述

系统可能容易受到攻击的情况包括:

  1. 不知道使用的所有组件版本(客户端和服务器端),包括直接使用的组件和嵌套依赖项
  2. 软件易受攻击、不再支持或已淘汰
  3. 影响范围包括: 操作系统、Web/应用服务器、数据库管理系统(DBMS)、应用程序、API、所有组件、执行环境和库
  4. 没有定期执行漏洞扫描并订阅相关组件安全公告
  5. 没有基于风险的方式及时修补或升级底层平台、框架和依赖项
  6. 修补工作是变更控制下的每月或每季度任务,导致组织暴露于可修补漏洞风险数天甚至数月
  7. 开发人员未测试更新、升级或修补后库的兼容性
  8. 未保护组件的配置文件(参见A05:2021-安全配置缺陷)

4. 预防措施

应建立补丁管理流程:

  1. 清理工作:

    • 删除未使用的依赖项
    • 移除不必要的功能、组件、文件和文档

  2. 持续监控:

    • 使用版本控制工具持续盘点客户端和服务器端组件及其依赖项版本
    • 推荐工具: OWASP Dependency Check、retire.js等
    • 持续监控CVE和NVD等来源确认组件是否存在漏洞
    • 使用软件组合分析工具自动化此流程
    • 订阅使用组件的安全漏洞公告

  3. 安全获取:

    • 仅通过官方提供的安全链接获取组件
    • 优先选择已签名的更新包,降低恶意组件风险(参见A08:2021-软件及数据完整性失效)

  4. 维护管理:

    • 监控未维护或未为旧版本创建安全补丁的库和组件
    • 如果无法修补,考虑部署虚拟补丁来监控、检测或防御已发现漏洞

  5. 组织流程:

    • 确保在应用程序或开发组合的生命周期内制定持续监控、分类和申请更新或更改配置的计划

5. 攻击场景示例

场景1: 组件权限问题

组件通常以与应用程序相同的权限运行,因此任何组件中的缺陷都可能导致严重影响。这些缺陷可能是偶然的(编码错误)或有意的(组件中的后门)。

已知易受攻击组件示例:

  • CVE-2017-5638: Struts 2远程代码执行漏洞,可在服务器上执行任意代码
  • IoT设备通常难以修补,但修补可能至关重要(如生物医学设备)

自动化工具利用:

  • Shodan IoT搜索引擎可帮助攻击者找到未修补或配置错误的系统
  • 例如查找2014年4月未修补Heartbleed漏洞的设备

6. 0day漏洞详解

定义

0day漏洞是最早专门针对软件漏洞的破解。名称中"0"表示zero,最初指软件发行后24小时内出现的破解版本,现在泛指在最短时间内出现的相关破解。

主要发布类型

  1. ISO:

    • 原版光盘做成ISO/Bin文件
    • 用WinRAR分卷压缩并添加nfo说明文件
    • 加密光盘可能使用CloneCD等格式
    • 国内称为"光盘版"

  2. RIP:

    • 去除游戏不必要内容以达到最小尺寸(遵循Standard RIP Rules, SRR)
    • 压缩、分卷、ZIP打包、添加NFO
    • 国内称为"硬盘版"

  3. Crack & Keygen:

    • 针对共享软件
    • 包含破解补丁与注册机
    • 完美注册机是理想情况,否则使用破解补丁

基于发行内容分类

  1. 软件:

    • 包含程序、破解、注册机或序列号
    • 通常发布于FTP,按日期排列
    • 采用分卷压缩发布
    • 命名格式: 程序名称.版本.适用平台.破解方式-发布小组
    • 目录结构: 0day/发布日期(MM/DD)/程序名称.版本.适用平台.破解方式-发布小组/

  2. 游戏: 新发布的破解游戏

  3. 电影: 发布群将DVD或其他源盘转换为便于网络共享的形式

安全行业相关0day

如log4j、shiro、fastjson等漏洞

7. 0day漏洞获取方式

  1. 主动探测:

    • 黑白盒对照进行漏洞挖掘
    • 技术要求高,需要投入大量时间和精力
    • 可保证漏洞的有效性、私密性和危害性
    • 合法利用可带来巨大利益
    • 注意: 应上交国家或用于技术测试获取合法利益

  2. 二手资源与公开信息:

    • 网络安全活动增多,各种分享方式出现
    • 安全的基础精神是共享
    • 可通过安全社区、论坛等渠道获取信息

8. 总结

A06漏洞强调了使用易受攻击和过时组件的风险,特别是在现代软件开发中广泛依赖第三方组件的情况下。组织应建立全面的组件管理流程,包括持续监控、及时更新和安全获取等措施,以降低此类风险。同时,了解0day漏洞的特性及其获取方式有助于更好地防御潜在威胁。

OWASP Top 10 2021 A06: 易受攻击和淘汰的组件详解 1. 漏洞概述 A06: Vulnerable and Outdated Components(易受攻击和淘汰的组件)在2021年OWASP Top 10中排名第六位。该漏洞类别在产业调查中排名第二,但由于有足够的数据支持而被纳入前十。 关键数据指标 可对照CWEs数量 : 3 最大发生率 : 27.96% 平均发生率 : 8.77% 最大覆盖范围 : 51.78% 平均覆盖范围 : 22.47% 平均加权漏洞/影响 : 5.0/5.0 出现次数 : 30,457 相关CVEs数量 : 0(这是CWEs中唯一没有任何CVE对应的类别) 2. 相关CWE条目 主要的CWE包括: CWE-1104: 使用未维护的第三方组件 两个2013年度和2017年度前10名的CWEs(具体未指明) 3. 漏洞描述 系统可能容易受到攻击的情况包括: 不知道使用的所有组件版本(客户端和服务器端),包括直接使用的组件和嵌套依赖项 软件易受攻击、不再支持或已淘汰 影响范围包括: 操作系统、Web/应用服务器、数据库管理系统(DBMS)、应用程序、API、所有组件、执行环境和库 没有定期执行漏洞扫描并订阅相关组件安全公告 没有基于风险的方式及时修补或升级底层平台、框架和依赖项 修补工作是变更控制下的每月或每季度任务,导致组织暴露于可修补漏洞风险数天甚至数月 开发人员未测试更新、升级或修补后库的兼容性 未保护组件的配置文件(参见A05:2021-安全配置缺陷) 4. 预防措施 应建立补丁管理流程: 清理工作 : 删除未使用的依赖项 移除不必要的功能、组件、文件和文档 持续监控 : 使用版本控制工具持续盘点客户端和服务器端组件及其依赖项版本 推荐工具: OWASP Dependency Check、retire.js等 持续监控CVE和NVD等来源确认组件是否存在漏洞 使用软件组合分析工具自动化此流程 订阅使用组件的安全漏洞公告 安全获取 : 仅通过官方提供的安全链接获取组件 优先选择已签名的更新包,降低恶意组件风险(参见A08:2021-软件及数据完整性失效) 维护管理 : 监控未维护或未为旧版本创建安全补丁的库和组件 如果无法修补,考虑部署虚拟补丁来监控、检测或防御已发现漏洞 组织流程 : 确保在应用程序或开发组合的生命周期内制定持续监控、分类和申请更新或更改配置的计划 5. 攻击场景示例 场景1: 组件权限问题 组件通常以与应用程序相同的权限运行,因此任何组件中的缺陷都可能导致严重影响。这些缺陷可能是偶然的(编码错误)或有意的(组件中的后门)。 已知易受攻击组件示例 : CVE-2017-5638: Struts 2远程代码执行漏洞,可在服务器上执行任意代码 IoT设备通常难以修补,但修补可能至关重要(如生物医学设备) 自动化工具利用 : Shodan IoT搜索引擎可帮助攻击者找到未修补或配置错误的系统 例如查找2014年4月未修补Heartbleed漏洞的设备 6. 0day漏洞详解 定义 0day漏洞是最早专门针对软件漏洞的破解。名称中"0"表示zero,最初指软件发行后24小时内出现的破解版本,现在泛指在最短时间内出现的相关破解。 主要发布类型 ISO : 原版光盘做成ISO/Bin文件 用WinRAR分卷压缩并添加nfo说明文件 加密光盘可能使用CloneCD等格式 国内称为"光盘版" RIP : 去除游戏不必要内容以达到最小尺寸(遵循Standard RIP Rules, SRR) 压缩、分卷、ZIP打包、添加NFO 国内称为"硬盘版" Crack & Keygen : 针对共享软件 包含破解补丁与注册机 完美注册机是理想情况,否则使用破解补丁 基于发行内容分类 软件 : 包含程序、破解、注册机或序列号 通常发布于FTP,按日期排列 采用分卷压缩发布 命名格式: 程序名称.版本.适用平台.破解方式-发布小组 目录结构: 0day/发布日期(MM/DD)/程序名称.版本.适用平台.破解方式-发布小组/ 游戏 : 新发布的破解游戏 电影 : 发布群将DVD或其他源盘转换为便于网络共享的形式 安全行业相关0day 如log4j、shiro、fastjson等漏洞 7. 0day漏洞获取方式 主动探测 : 黑白盒对照进行漏洞挖掘 技术要求高,需要投入大量时间和精力 可保证漏洞的有效性、私密性和危害性 合法利用可带来巨大利益 注意: 应上交国家或用于技术测试获取合法利益 二手资源与公开信息 : 网络安全活动增多,各种分享方式出现 安全的基础精神是共享 可通过安全社区、论坛等渠道获取信息 8. 总结 A06漏洞强调了使用易受攻击和过时组件的风险,特别是在现代软件开发中广泛依赖第三方组件的情况下。组织应建立全面的组件管理流程,包括持续监控、及时更新和安全获取等措施,以降低此类风险。同时,了解0day漏洞的特性及其获取方式有助于更好地防御潜在威胁。