# OWASP 2025 年安全审计前 10 名 ## 目标针对 OWASP Top 10 2025 框架进行系统代码库审计。生成一份结构化的严重性评级报告，其中包含有证据支持的调查结果。强调语义代码理解而不是正则表达式模式匹配 - grep 模式是起点，真正的分析是通过阅读和推理代码上下文来进行的。 ## 何时使用 *“对此代码库运行 OWASP 审核” *“检查 OWASP Top 10 漏洞” *“针对 OWASP 2025 的安全审核” *“仅审核 A01 和 A03” *“检查此存储库是否存在常见漏洞” *《OWASP安全审查》 ## 何时不使用 * PR代码审查（使用审查技巧） * 仅`npm审核`/`pip审核`/依赖项扫描 * SOC2 / ISO 27001 合规性检查（使用drata-api 技能） * 无审计意图的一般安全问题 * 威胁建模（使用安全威胁模型技能） * 单文件代码审查 ## 输入 * 可通过 Glob/Grep/Read 访问代码库 * 可选：特定 OWASP 类别（例如“仅限 A01 和 A03”） * 可选：重点领域或已知问题 ## 输出 * 内联 Markdown 报告（仅在用户请求时才写入文件） * 执行摘要表 * 按类别发现的严重性/置信度/证据/补救措施 * 汇总统计数据和后续步骤 ## 工作流程 ### 第一阶段：侦察审计前对项目进行分类。对关键文件使用 Glob/Read： Glob：package.json、requirements.txt、go.mod、Cargo.toml、*.tf、*.csproj、pom.xml 全局：Dockerfile*、docker-compose*、.github/workflows/* 全局：**/routes/*、**/api/*、**/controllers/*、**/handlers/* 阅读：README.md（前 100 行），主要入口点确定： * **项目类型**：网络应用 |应用程序编程接口 |亚克力 |图书馆 |命令行|移动 |单一仓库 * **语言/框架** ：例如Node/Express、Python/Django、Go/Gin、Terraform/AWS * **部署模型**：无服务器、容器、虚拟机、静态托管 * **数据敏感性信号**：身份验证、PII、支付、医疗保健、加密 ### 第 2 阶段：相关性过滤使用项目类型设置每个类别的审核深度。防止无意义的检查（例如 Terraform 上的 SQL 注入）。类别 |网络应用程序 |应用程序编程接口 |亚克力 |图书馆 |命令行|移动 ---|---|---|---|---|---|--- A01 访问控制损坏 |完整|完整|完整|光|光|满 A02 安全配置错误 |完整|完整|完整|光|光|满 A03 供应链失败 |完整|完整|光|完整|完整|满 A04 加密失败 |完整|完整|光|完整|光|满 A05注塑|完整|完整|跳过|光|完整|满 A06 不安全设计 |完整|完整|光|光|光|满 A07 身份验证失败 |完整|完整|跳过|光|跳过|满 A08 数据完整性故障 |完整|完整|光|完整|光|满 A09 记录和警报 |完整|完整|光|光|光|满 A10 特殊条件 |完整|完整|光|完整|完整|满 * **完整** ：运行所有 grep 模式 + 语义分析 * **Light** ：仅 grep 模式，标记但不深入 * **跳过** ：在报告中提到不适用，继续 ### 第三阶段：证据收集对于每个相关类别，运行“CATEGORIES.md”中的 Grep/Glob 模式。使用并行工具调用独立类别。收集文件路径和匹配行作为证据。 ### 第 4 阶段：语义分析对于每个标记的文件/模式： 1. 阅读周围的代码上下文（不仅仅是匹配的行） 2. 确定结果是真阳性还是假阳性 3. 检查现有的缓解措施（防护装置、验证器、中间件） 4. 分配严重性：严重/高/中/低 5. 指定置信度：高/中/低 6.注意具体补救措施 **严重性标准：** * **严重**：无需身份验证即可利用，导致数据泄露或 RCE * **高** ：可通过低权限访问进行利用，大量数据暴露 * **中**：需要特定条件，有限的暴露 * **低**：纵深防御问题，直接影响最小 ### 第 5 阶段：报告生成使用这个模板： # OWASP 2025 年 10 强安全审计报告 **项目**：<名称> **类型**：<项目类型> | **语言**：<语言> | **日期**：<日期> **范围**：<全面审核|部分：列出的类别> ## 执行摘要 |严重性 |计数 | |----------|--------| |关键|尼 | |高|尼 | |中等|尼 | |低|尼 | |信息 |尼 | <1-3句话总结主要发现和整体态势> ## 调查结果 ### A0X：<类别名称> — <通过 |调查结果 |不适用> > 相关性：完整 |光|跳过 #### 寻找 X.1：<标题> - **严重性**：严重 |高|中等|低 - **信心**：高 |中等|低 - **位置**：`路径/到/文件：行` - **证据**：<代码片段或模式匹配> - **问题**：<出了什么问题以及为什么重要> - **修复**：<具体修复> （根据发现重复） --- ## 汇总表 |类别 |状态 |关键|高|中等|低| |----------|--------|----------|-----|--------|-----| | A01 | ... | ... | ... | ... | ... | （全部 10 个类别） ## 方法论 - 通过 Grep/Glob 自动模式匹配 - 标记位置的语义代码分析 - 基于代码上下文的误报过滤 - 应用项目类型相关性过滤 ## 后续步骤 1. <优先补救措施> 2. <推荐的工具或流程> 3. <需要更深入人工审核的类别> ## 部分审计支持当用户请求特定类别时（例如“仅审核 A01 和 A03”）： 1.跳过第2阶段（相关性过滤） 2. 最小阶段 1——仅检测语言/框架 3. 在阶段 3-5 中仅运行请求的类别 4. 报告仅涵盖要求的类别，指出其他类别超出范围 ## 决策点 * **大型代码库（>500 个文件）**：专注于入口点、身份验证边界和配置文件。请注意报告中的覆盖范围限制。 * **Monorepo** ：运行每个子项目的第 1 阶段。根据用户偏好生成每个项目部分或单个统一报告。 * **没有发现** ：报告为带有方法说明的干净审计。不要捏造问题。 ## 验证清单 * 已解决所有 10 个类别（或注明为 N/A/超出范围） * 每个发现都有严重性+置信度+位置+证据+补救措施 * 过滤误报（不仅仅是原始 grep 输出） * 正确识别项目类型并应用相关矩阵 * 报告使用一致的严重性定义 * 执行摘要准确反映了调查结果 ## 参考文献 * 类别详细信息、grep 模式、语义检查：`CATEGORIES.md` * 评估提示：`EVALUATIONS.md`

安全审计 Owasp 前 10 名

包含技能