Akamai：开放Web应用程序安全项目(OWASP) 10大漏洞白皮书（12页）.pdf

1、OWASP 10 大漏洞Akamai 如何帮助防范常见漏洞报告执行简报白 皮 书|2前言开放 Web 应用程序安全项目(OWASP)10 大漏洞列表涵盖了 Web 应用程序中最常见的漏洞，旨在增强企业的安全意识。为了全面应对 OWASP 10 大漏洞，您有必要了解安全供应商可以在哪些方面、如何以及多大程度上帮助改进您自己的开发实践。以下将详细分析 OWASP 10 大漏洞，介绍每种漏洞类别，并阐述 Akamai 如何通过边缘安全解决方案、托管服务以及全球领先的智能边缘平台来为企业提供支持。Account ProtectorAkamai Guardicore SegmentationApp&AP

2、I ProtectorBot ManagerEnterprise Application AccessEnterprise Threat ProtectorIdentity CloudManaged Security ServicesAkamai MFAPage Integrity Manager权限控制失效A01加密机制失效A02注入A03不安全的设计A04安全配置错误A05危险或过旧的组件A06认证及验证机制失效A07软件和数据完整性失效A08安全日志记录和监控失效A09服务器端请求伪造A10OWASP 10 大漏洞Akamai 产品OWASP 10 大漏洞是风险类别，而不是单一风险。Ak

3、amai 的解决方案将通过多种方式来应对这些风险类别。阅读白皮书以了解更多信息。|3A01：权限控制失效Akamai 如何提供帮助虽然企业必须修复访问控制模式才能完全修复“权限控制失效”漏洞，但 Akamai 凭借在 WAAP 领域的深厚专业能力，可以帮助您检测并防范尝试利用此漏洞的一些攻击媒介：Enterprise Application Access 为企业用户启用了最小权限访问模式，仅允许通过身份验证的用户对授权应用程序进行查看和访问支持 Zero Trust 安全模式。Akamai MFA 基于可防范网络钓鱼的 FIDO2 技术标准提供强大的身份验证服务。App&API Protect

4、or（Akamai WAAP 解决方案）可通过检查“引用站点”标头来阻止强力浏览器攻击，并实施 API 身份验证来加强基于 Akamai API Gateway 的访问控制。Identity Cloud 可提供对最终用户数据的精细访问控制，为每个内部用户或系统启用最小权限 访问。Bot Manager 可防止自动化工具攻击和登录 攻击。“权限控制会实施相关策略，确保用户无法执行其预期权限以外的操作。权限控制失效通常会导致未经授权的信息泄露、修改或破坏所有数据，或执行超出用户限制的业务功能。”来源：owasp.org|4A02：加密机制失效Akamai 如何提供帮助企业无法使用任何一种安全解决方

5、案来彻底防止加密机制失效。不过，结合使用各种不同的解决方案有助于应对此漏洞在部分方面的问题。例如，Akamai 的：App&API Protector 使用最新版本的 TLS 和强密码来为传输中的敏感数据提供加密和保护。它还有助于：仅通过安全 CDN 来提供服务，从而确保符合 PCI 标准。该安全 CDN 支持所有品牌 TLS 证书并且将保护客户的私钥。提供受操作和物理安全机制（例如笼式机架和运动检测器）保护的 CDN，确保只有授权人员才能访问服务器。通过 API PII 学习来定位和防止敏感数据泄漏。Enterprise Application Access 可以通过加密通信和隐藏机密数据，

6、防止他人窥探网络，从而保护远程访问。Enterprise Threat Protector 可以帮助防止敏感数据泄露。Page Integrity Manager 还可以检测基于 JavaScript 代码滥用的 PII 数据泄漏，这可能是由加密机制失效引起的。|4“重点是与加密机制相关的失效（或缺乏加密机制）。这通常会导致敏感数据泄露。例如，密码、信用卡号、健康记录、个人信息和商业机密需要得到额外的保护，主要是为符合隐私法的相关数据提供保护。”来源：owasp.org|5A03：注入攻击Akamai 如何提供帮助您可以使用 WAAP 来缓解来自 Web 应用程序和 API 注入缺陷的风险。但