OWASP十大非人类身份风险-2025

OWASPNon-HumanIdentities1欢迎来到OWASP十大非人类身份风险2025。源包括现实世界的违规行为、调查、CVE数据库等。有关此流程的详细信息，请参阅《排名标准》和这些挑战基于可利用性、普遍性、可检测性和影响等因素进行排名。该列表旨在帮助安全专业人员非人类身份NHI通常被开发者用来促进应用程序的创建，但它们也可能带来重大项目提供了对这些风险的全面概述，包括它们如何被利用的说明、它们的普遍性以及对组织响。此外，该项目还提供了可行的预防措施和事件响应手册，以帮助组织缓TwitterLinkedInAstrixSecurity--AmirBenvenisti 2AstrixSecurityAstrixSecurityBarKaduri项目组成员：王文君、阮子禅、王厚奎、郭佩OWASPNon-HumanIdentities 4 NHI7:2025长期有效的密钥 OWASPNon-HumanIdentities4非人类身份（Non-HumanIdentity,NHI）用于为应用程序、API、机器人和自动化系统等软件实体提供访NHI支持多种凭证和身份验证方法，包括近期随着NHI使用率的增加，涉及NHI被盗的现实世l微软的午夜暴雪漏洞（2024年1）：得非生产Microsoft365测试OWASPNon-HumanIdentities管的非人类身份该应用程序具有访问Microsof）：lInternetArchive的Zendesk支撑平台被入侵（2024年10月攻击者利用了与InternetArchiveZendesk支撑平台绑定的未轮换访问令牌，导致未授权OWASP非人类身份（NHI）十大风险项目确定并排名了与NHI相关的最关键风险，为开发人员和组织提供我们通过真实事件、调查报告、CVE数据库和行业投入来识别关键风险。我们利用收集的数据并基于OWASP风险评估方法将前十大风险进行了排名，同时提供了一个清晰的优先OWASPNon-HumanIdentities6排名标准该项目的目标是识别、优先排序并对与非人类身份（NHIs）相关的风险进行排名。为了实现这一目标，我容易：3广泛：3严重：3平均：2平均：2不常见：1容易：1低：1假设解释通过将这些假设作为排名过程的基础，我们的目的是提供一个清晰可行的框架，用于理解和解决与非人类OWASPNon-HumanIdentities发行说明OWASPNon-HumanIdentities方法和数据在起草风险、示例和参考材料收集的过程中，我们从各种数据源1.近期的违规行为：过去三年中涉及非人类身份（NHI）滥用的一个或多个攻击阶段的高调违规事件汇2.CVE分数：利用CVSS严重性评分作为关键指标，分析来自NVD（国家漏洞数据库）的公开可用漏洞。初步起草事故报告仅考虑在过去三年内报告的事故。每个确定的风险都记录有描述、示例攻击和相关引用。最初的数据收集在第二阶段，团队开始收集和审查公开可用的数据。收集的数据与每个风险的具体数据源匹配，确保全面OWASPNon-HumanIdentities标准和排名方法风险排名每位贡献者都会对特定的风险进行评估。团队根据收集到的数据源对每项风险进行排名，并将其与术语对验证和定稿排名草案被公开，团队举行了评审会议，以确保：-OWASPNon-HumanIdentities密钥泄露是指在整个软件开发生命周期中，敏感的非人类身份（例如API密钥、令牌、加密密钥），NHI3:2025脆弱的第NHI4:2025不安全的NHI5:2025权限过高在应用程序开发和维护过程中，开发人员或管理员可能会为非人类身份分配超过其功能所需的权NHI6:2025不安全的持续集成和持续部署（CI/CD）应用程序使开发人员能够自动化构建、测试和部署代码到生产环境的过程。这些集成通常需要与云服务进行认证，通常通过静态凭证或OpenIDConnect（OIDC）实NHI7:2025长期有效OWASPNon-HumanIdentitiesNHI1:2025不当注销可检测性：困难利用不当注销的非人类身份体场景。如针对内部威胁场景，很容易确定利用不当注销的身份需要哪些必要凭由于潜在内部威胁对组织有NHI可能会导致关键系统受用高级持久性攻击手段的情不当注销是指当不再需要非人类身份(NHI)（例如服务账户和访问密钥）时，未充分停用或删除它们。这会带来重大安全风险。未受监控和弃用的服务可能仍然易受l孤立的Kubernetes服务账户：已停用服务的Kubernetes击者获得此不受监控集群的访问权限，他们可以利用这些服务账户与组织基础架构内的其他资源进行未被停用或转移。离职员工可能会滥用仍然有效的凭证远程访问组织的系统，从而导致未经授权的数l利用遗留应用程序进行权限提升和横向移动：在测试环境中创建的应用程序用于测试工作负载，随后连接到敏感的生产环境以完成测试套件，并且工作负载转移到生产服务器中运行时该应用程序并未被停用。这样一来，进入安全性较低的测试环境的攻击者就可以利用这个应用程序在组织内进行横向移OWASPNon-HumanIdentitiesl实施注销流程，审查与离职员工相关的所有NHI。对于每个NHI，确定是否仍然需要。如果不需要，则停用它；否则，将所有权转让给另一名员工，并lCSA：淘汰孤立和陈旧的非人类身份l离职员工访问了前公司系统并删除资源l微软遭午夜暴雪组织入侵n微软被攻击事件。OWASPNon-HumanIdentitiesNHI2:2025密钥泄露可检测性：困难成功利用泄露的密钥极其够以合法应用程序的身份密钥是机器对机器通信的常用认证方法，包括到机器集成（M2Mintergration），密钥通常包含高影响NHIs字符串）凭证，因此在违规准的数据存储的情况。开发人员在应用程序开发过程中经常利用这些密钥来使其能够与组织内的各种服务和资源进行身份验证并交互。然而，当密钥被泄漏时——例如，被硬编码到源代码中、存储在纯文本配置文件中或通过公共聊天应用程序被分享——它们就变得容易暴露。暴露的密钥可能导致重大的安全风险。如果一个密钥被泄漏了，无论是通过代码仓库、日志还是开发人员计算机上的恶意软件，恶意攻击者都可以利用它来获得未经授权的系统访问权限、窃取数据或在网络内提升特权。这会导致数据泄露、服务中断OWASPNon-HumanIdentitiesn将密钥扫描工具（例如，GitHubSecretlOWASPSecretsManagementCheatSheetlOWASPWrongSecretsprojectl微软AI研究人员意外公开38TB数据lMicrosoftAzureKeyVault：最佳实践lHashiCorpVault：什么是Vault？lGitHub：保护您的代码的最佳做法lAWSSecretsManagerOWASPNon-HumanIdentitiesn微软SAS令牌入侵。n优步入侵。n互联网档案馆入侵。OWASPNon-HumanIdentitiesNHI3:2025脆弱的第三方NHI可检测性：困难找到存在漏洞的第三方应用程序并非易事，需要付出一访问第三方客户/用户/客户VSCode扩展插件及商业应用。在许多情况第三方应用程序通常被赋予了旦开发者的生态系统遭到破坏，可能会引发供应链攻击、个人数据被盗取，甚至对关键第三方非人类身份（NHIs）通过集成开发环境（IDEs）及其扩展插件，以及第三方软件即服务（SaaS）的使用，被广泛地融入开发工作流程中。例如这些插件可以增强其功能。这些扩展插件通常需要大量访问开发者的计算机，包括读取代码、访问环境变量以及与其他系统资源进行交互的能力。为了实现其功能，第三方可能需要与外部服务进行集成，如版本就可以利用它来窃取这些凭证，或者滥用所授予的权限。此外，第三方可能会接触到代码库中硬编码的凭它就可以将这些敏感信息泄露出去。因此，在没有进行适当审查和采取安全措施的情况下依赖第三方非人类身份，会给组织带来重大风险。GitHub或GitLab这样的代码仓库进行交互。这种配问令牌（PATs）或SSH密钥，从而实现代码同步、推插件被攻破，这些凭证就会暴露，进而导致未经授权的人员能够访问开发者的代码仓库，甚至可能接OWASPNon-HumanIdentitiesl扩展插件访问云资源：那些用于在虚拟机或云服务上进行部署和测试的扩展插件，需要访问云环境。开发者会向这些扩展插件提供非人类身份，例如应能够与亚马逊网络服务AWS、微软Azure或谷用程序。在集成过程中，开发者会创建诸如数据库凭证之类的具有特权的非人类身份，并将其发送给服务提供商。如果该服务提供商遭到攻击，攻击者就可以利n仅授予所需的最低权限（遵循最小特权原则并定期对未n持续通过日志记录、API调用跟踪以及l影响GitHub插件的JetBrains安全问题l恶意VSCode扩展窃取数据l深入研究VSCode扩展漏洞l解读Sisense黑客攻击事件OWASPNon-HumanIdentitieslDatadog2024年云安全状况lCSANHI报告OWASPNon-HumanIdentitiesNHI4:2025不安全的身份认证技术：中等一旦攻击者发现使用不安以利用已知的技术和工具不安全协议通常用于促进给功利用使用不安全身份验证的NHI可能会导致账户接管开发人员经常将内部和外部（第三方）服务集成到他们的SaaS应用程序和云环境中以增强其体验或简化操作。这些服务需要对系统内的资源进行访问，因此需要身份验证凭证。各种平台提供了多种身份验证方法，然而，某些身份验证方法已被弃用、易受已知攻击或由于使用过时安全实践而被视为薄弱环节，因此开发人员必须谨慎选择最适合其特定用例的安全选项。使用不安全或过时的身份验证机制可能会使组织面临重大风险，包括未经授权的访问、数据泄露和合规违规。开发人员和组织必须评估所有可用的身份验证l弃用的OAuth流程：某些早期OAuth版本（OAuth1.0和OAuth2.0）中的流因l非标准的OAuth实现：一些平台偏离官方OAuth标准，通过实施自定义行为，例如将访问令牌转换l使用基于凭证的身份验证而不是无凭证方法：云提供商提供无凭证的身份验证机制，例如使用实例简OWASPNon-HumanIdentities档或OIDC联合的云内访问。依赖于静态、基于凭不可取的，因为这些凭证可以在泄漏、代码存储库或日志中公开。无凭证方法提供临时、范围限定的身份验证协议的应用程序。这些密码绕过了MFA，这意味着即使用户启用了MFA，也可以使用应用密码访问账户而无需额外的验证。获得应用密码的攻击者可以利用这一点来进行未经授权的访问，有效地抵消了MFA的安全优势，并将用户账户转化为不安全的l使用用户名和密码的遗留身份验证协议：某些应用程序继续使用过时或专有的身份验证流程，这些流程依赖于直接传输用户名和密码，模仿OAuth类似的行为但不符合其安全标准。这些方法缺少官方OAuth流程提供的保护措施，因此容易lOWASPAuthenticationCheatSheetlSalesforce：禁用不安全的授权流lOAuth2.0安全最佳当前实践-隐式授予lSalesforce：用户名－密码OAuth流lAuth0：带有表单提交的隐式流lMicrosoft支持：使用应用程序密码与不支持两步验证的应用程序一起lGoogle账号帮助：使用应用程序密码登录OWASPNon-HumanIdentitiesnMSFTSASToken漏洞nUber漏洞nCircleCI漏洞nCloudflare漏洞nSnowflake漏洞nenv文件漏洞OWASPNon-HumanIdentitiesNHI5:2025权限过高的NHI可利用性：困难成功利用权限过高的非人类先获得对目标环境的访问权限。因此，权限过高的NHI依赖于一个独立的初始访问的高权限，可能导致严重影响。这类身份通常为管理员账户，其权限范围广泛，潜非人类身份（NHI如服务账户、API令牌和工作负载身份）旨在通过编程方式访问云资源和服务。它们使应用程序、服务和自动化流程能够在无需人工干预的情况下安全运行。然而，在应用程序开发与维护期间，开发人员或管理员可能会无意中为NHI分配超端地扩大潜在的影响范围。当权限过高的NHI受到），对其他应用程序、系统文件或敏感数据目录的访问权限。如果Web服务器存在洞，攻击者可以利用此漏洞控制Web服务器的进程。利用该用户账户过高的权修改其他应用程序、窃取敏感数据或进行未经授权的系统更改操OWASPNon-HumanIdentitiesl权限过高的数据库服务账户：托管数据库服务使用的服务账户具有该账户的管理员操作权限。如果攻击者设法访问到该数据库，他们可以利用该服务账户的高级权限，对整个云账户进行访问和操权限。若攻击者利用数据库软件中的漏洞，他们可以利用该服务账户的高级权限执行任意命令、恶意软件或创建新的用户账户，从而导致整个系统被l实施最小权限原则：为每个身份仅分配其特定任务所需的最基本权限，除非绝对必要，否则避免授予MicrosoftSAS令牌泄露事件（2023年9月）-链接CircleCI数据泄露事件（2023年1月）Uber数据泄露事件（2022年9月）-链接Verkada数据泄露事件（2021年3月）-链接OWASPNon-HumanIdentitiesn10%的集群存在危险的节点角色，该角色拥有完全的管理员访问权限，可进行权限提升，具备过），OWASPNon-HumanIdentitiesNHI6:2025不安全的云部署配置一般来说，发现配置错误的它们通常是在组织内部进行设对轻松地侦察组织内环境并定管理CI/CD流水线的风险已经引起人在使用硬编码凭证或不安全的身份认证授高访问权限，因此成功利用CI/CD流水线的错误配置可能导致供应链攻击或对环境利用持续集成和持续部署（CI/CD）应用程序，开发个过程。此类集成通常要求CI/CD流水线与云服务进但是，OIDC中的错误配置同样会引入漏洞。如果未正确如sub（subject）声明——未经授权的用户正确的CI/CD集成配置和管理对于维护生OWASPNon-HumanIdentities或GitLab）的情况。如果没有这个限制，这些平台上lAzure服务主体凭证硬编码：硬编码Azur主体的凭据被硬编码到流水线配置文件中。如果这些文件存储在公开访问的仓库或以其他方式暴露出来，攻击者可以获取凭据并作为该服务主体进行身份验证，n使用工具如AWSSecretsManagerl利用配置不当的GitLabOIDCAWSIAM角色。lGitHubActions中的AWS访问安全性建议。OWASPNon-HumanIdentitiesNHI7:2025长期有效的密钥可利用性：困难成功利用长期有效的密钥需要威胁代理首先获得对密钥值的访问权限。因此，长期有效的密钥攻击依赖于不同在现代环境中，长期有效的密钥极为常见。这是由于密钥轮换存在诸多挑战，并且临时解决方案的可用性较低。鉴于大多数密钥管理工具能让用户查看自上次轮换以来所经过机密信息往往包含具有重要影响的非人类身份（NHI）的凭证（例如API密钥和数据加密密钥和证书）。开发人员经常使用这些密钥来使应用程序能够认证并与组织内的各种服务和资源进行交互。通常，这些密钥可能会被攻破或泄露（见“l通过过期的敏感访问令牌进行权限提升：在企业网中拥有低级别权限的攻击者发现了一份一年前的数据转储。这份转储包含一个具有管理员权限的敏感访问令牌。攻击者利用这个敏感访问令牌在网络中OWASPNon-HumanIdentitiesl采用零信任原则：对于访问敏感资源或执行高风险操作的非人类身份（NHIs），要求其重新进行身份RabbitInc.应用程序编程接口（API）密钥泄露事件（2024年6月linkHuggingFaceSpace平台密钥泄露事件披露（2024年5月）－link员工个人的GitHub仓库泄露Azure和红帽（RedHat微软共享访问签名（SAS）令牌泄露事件（2023年9月link微软Azure站点恢复服务权限提升漏洞事件（2022年7月）－linklDatadog2024年云状况报告l云安全联盟（CSA）NHI报告lOrcaSecurity2022年云安全状况报告OWASPNon-HumanIdentitiesNHI8:2025环境隔离可检测性：困难技术：中等成功利用未隔离的NHI要求威胁代理首先获得对测试环境的访问权限。测试环境相较于生产环在非生产与生产环境中通常不会重复隔离NHI的影响取决于关联是不可忽视的。环境隔离是一种基本的安全实践，在云应用部署中使用不同的环境来开发、测试、研发和生产。这种分离确保一个问题在一个环境中不会影响其他环境，特别是生产环境中真实用户和敏感数据的存在。非人类身），问生产资源的权限，则攻击者可以利用这个NHI渗透通过隔离环境及相关NHIs，可以显著减少组织暴露l共享AWS访问密钥跨环境：AWS访问密钥在测试和生产环境中都可用于访问AmazonS3存储桶。虽然该密钥的设置初衷在于访问测试环境中的模拟数据，然而它也同时拥有访问敏感生产数据的权限。如果测试环境受到损害，攻击者可以使用共享访问密钥获取并操纵生产数据，进而导致数据泄露或服允许资源在测试订阅和生产订阅之间共享。这种配置使得测试环境中的进程可以访问生产环境中的资源。然而，如果攻击者获得了测试环境的访问权限，他们就可以利用该身份验证来获得对关键资源的OWASPNon-HumanIdentitiesl严格环境隔离NHI：为每个环境（开发、测试、预发布、生产）分配唯一的NHI，以确保一个环境中lAWS关于工作负载隔离的建议OWASPNon-HumanIdentitiesNHI9:2025NHI重用可利用性：困难可检测性：困难胁代理首先获得环境的访问NHI重用的影响取决于与之用最小权限，则这种影响为），是部署在一起的——会引入显著的安全风险。如果NH为了将这些风险降至最低