蒃 CWE 与 OWASP 对比分析报告芈-研究 CWE 和 OWASP 的关系。归纳目前为止，双方总结的软件缺陷的类别。薅 CWE 和 OWASP 的关系羀 CWE ( Common Weakness Enumeration)指“一般弱点列举”，它是由美国国家安全局首先倡议的战略行动。 在 CWE 站点上列有 800 多个编程 、设计和架构上的错误 ，CWE 文档首先列举的是针对程序员最重要的25项(Top 25 )，同时也是软件最容易受到攻击的点，从而帮助他们编写更安全的代码。同时文档还适用于软件设计师、架构师、甚至CIO ，他们应该了解这些可能出现的弱点，并采取恰当的措施。蚅 OWASP ( Open Web Application Security Project )指“开源 web 应用安全项目” 它是由一个开放性社区倡议的项目， 致力于帮助各组织开发、 购买和维护可信任的应用程序。 Top 10 项目的目标是通过确定企业面临的最严重的威胁来提高人们对应用安全的关注度。 使用 OWASP Top 10 可以让企业了解到应用安全。开发人员可以从其他组织的错误中学 习。执行人员能开始思考如何管理企业中软件应用程序产生的风险。莇相较之 CWE 与 OWASP ， CWE 的 Top 25 的覆盖范围更广，包括著名的缓冲区溢出缺 陷。 CWE 还为程序员提供了编写更安全的代码所需要的更详细的内容。OWASP 更加关注的是 web 应用程序的安全风险，这些安全风险易被攻击者利用，使得攻击者方便地对web应用程序进行攻击。螅总之，两者区别在于，CWE更加站在程序员的角度，重点关注的是软件开发过程，即编程时的漏洞，这些漏洞最终会造成软件不安全，使得软件易被攻击。而OWASP更加站在攻击者的角度，思考当今攻击者针对web应用软件漏洞采取的最常用攻击方式，从而提高开发者对应用安全的关注度。 两者关注的都是软件存在的风险， 软件开发者都应该深入研究, 了解软件存在的风险及其预防、矫正。四.腿总结CWE和OWASP的软件缺陷类别 （重点归纳CWE-Top 25和OWASP-Top10软件缺陷类别）1 .L14J1 56CWE129Improper Validation of Array Index151 55CWE754Improper Check for Unusual or Exceptional Conditions161 54CWE209Informatioin EKpoure Through an Error Messagt1715斗CWE190Integer Overflow or WraparoundIB151CWE131Incorrect Cakulauon of Buffer Size19147CWE306Missing Authenticaticn for Critical Function146CWE-494145CWE-7322.莆 CWE-Top 25Rank Score34CWE-IDCWE-79CWE-B9Nam-eFailure to Preserve Web Page Structure (Xrass-site Scripting)Improper Sanrtizacian of Special Elements used in an SQL ComtriAn日 CSQL Injection1)3ISO17ZCWE-120Buffer Copy without Checking Size of Input CCIiassic Buffer Overflow4261CWE-352Cross-Site Request Forgery (CSRF219CWE-285Improper Access Control (Autharization)6202CWE-fiO7Reliance on Untrijsted Inputs in a Security Deci si an197CWE-22Improper LirnitAtion of a Pathname to a Restricted Directory (Tath Traversal)IB194CWE-434Unrestricted Upload of File with Dangerau& Type1S8CWE-7BImproper 5aniitiizadcn af Special Elements used in an OS Command (05 CommandInjection)101 88CWE-311Missing Encryption of Sensitive Data111 76CWE-798Use af Hard-eodled Credentials12158CWE-S05Buffer Access with Incanect Length Value13157cwE-seImproper Control of Fllenaim电 for Include Require Stacemenc inFile Inclusion)145CWE-770142CWE-601141CWE-3271 38OTE-3622 2 2 2 2 2 rL rL rL- rL rL rLDownload af Code Without Integrity CheckIncorrect Permissior Assignment for Critical Resource Allaction nF ResourceWithout Limits or Throttling URL Redirection to Untvusted Site ( Open Redirect) Uie of n Broken or Risky Cryptographic Algorithm Race 匚ondition螂这25个错误可以分成三种类型：组件之间不安全的交互（8个错误），高风险的资源管理（10个错误）以及渗透防御（porous defenses ） （ 7个错误）。薇组件之间不安全的交互，通常是开发团队非常庞大的直接结果。一个应用程序中的不同组件由不同的开发人员编写，在该应用程序完成和部署之前，他们通常很少交流。为了减少这种类型的错误， 所有的代码都要用文档记录清楚，这样做至关重要。 文档内容应该包括代码是干什么的、这些代码被调用时有哪些前提假设、为什么要用到这些假设、怎样使用这些假设等等。膅通过确认和测试这些假设没有被违背，可以消除应用程序中的许多缺点。列出一个特殊 组件参考的代码也很重要。这种交叉参考有助于确保部件的变化不会破坏其他地方的假设和 逻辑，这样审查人员可以更容易看到或者理解哪些流程或者业务控制应该进行规避。为了确保此项文档和确认工作得到实施，应该把它作为设计和创建要求的组成部分。羅开发人员通常不会意识到他们在应用程序中添加的特殊特点和功能具有安全隐患。威胁建模是解决这个安全性与实用性问题的好方法。它不仅可以提高开发人员的安全意识，而且还使应用程序安全成为应用程序设计和开发过程的组成部分。这是缩小安全人员与开发人员之间专业知识差距的一个很好的办法。衿渗透防御是项目管理拙劣或者项目资金不足的反应。如“敏感数据缺少加密”和“关键功能缺少身份认证”，许多开发人员没有掌握如何创建运行在恶劣互联网环境中的应用程序 的方法。开发人员没有明白，他们不能依靠防火墙和负责应用程序安全的IDS （入侵检测系统），他们也需要对安全负责。3.4. 艿 OWASP-Top 10OWASP Top 10 -2010 （新版*Al琏入心Ta2 -蹲前與薊X55） 2A3 -矢效的认证和会话管理“A4 -不安全的直接对彖引映 心-跨苑埼康伪苣（CSRFhA6 -安全B2赛错罠價EWK1A7 -限制URL访间共效AS -肖未船证的垂定向和转发（新丁 A9-不安全的瓷码議藏传裁层保护不足_羄芀从 Top 10 可以看出， OWASP 认为应用的安全风险与 威胁动因( Threat Agent )、攻击 向量(Attack Vectors )、 安全脆弱性(Security Weakness)、安全控制(Security Controls )、 技术影响(Tech nical Impacts )、商业影响(Bus in ess Impact)这五项相关。螇羇其中，商业影响可以近似认为是与资产(Assets、相关，威胁动因可以近似认为是与威胁(Threat、相关。但是由于威胁动因和商业影响都是与具体环境相关、而且难以量化，所以OWASP解释“Whats My Risk? ”的时候这两部分都用问号代替。也就是说，OWASP2010 中给出的量化评分是不包含与威胁相关的威胁动因以及与资产相关的商业影响。肄风险的公式是指 Risk = f (Threat, Vulnerability, Assets )， 如果等式的右边去掉了 Threat 和 Assets 则只 有 Vulnerability 。 也 就 是 说 OWASP 给出的 量 化 指 标仅仅 是 一个 与 Vulnerability 相关的量化指标。 也可以说， OWASP 正确的理解了风险， 由于无法给出 Threat 和 Assets 的量化方法，所以给出了量化 Vulnerability 的一个方法。这就是 OWASP Top 10 的意义所在。