OWASP Top 10 是针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。

开发人员在全球范围内将其视为迈向更安全编码的第一步。

公司应采用本文件并开始确保其网络应用程序将这些风险降至最低的过程。使用 OWASP Top 10 可能是将组织内的软件开发文化转变为生成更安全代码的文化的最有效的第一步。

十大 Web 应用程序安全风险

2021 年的前 10 名中有 3 个新类别、4 个更改了名称和范围的类别以及一些合并。

测绘

  • A01:2021-Broken Access 失效的访问控制从第五位上移;94% 的应用程序都针对某种形式的损坏访问控制进行了测试。映射到损坏的访问控制的 34 个常见弱点枚举 (CWE) 在应用程序中的出现次数比任何其他类别都多。
  • A02:2021-Cryptographic Failures 加密失败上升一位到第 2 位,以前称为敏感数据泄露,这是一个广泛的症状而不是根本原因。这里重新关注与密码学相关的故障,这些故障通常会导致敏感数据泄露或系统受损。
  • A03:2021-Injection 注射滑到第三个位置。94% 的应用程序针对某种形式的注入进行了测试,映射到该类别的 33 个 CWE 在应用程序中出现次数第二多。跨站点脚本现在是此版本中此类别的一部分。
  • A04:2021-Insecure Design 不安全的设计是 2021 年的一个新类别,重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“向左移动”,就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
  • A05:2021-Security Misconfiguration 安全配置错误从上一版的#6 上移;90% 的应用程序都针对某种形式的错误配置进行了测试。随着越来越多的人转向高度可配置的软件,看到这一类别上升也就不足为奇了。以前的 XML 外部实体 (XXE) 类别现在属于此类别。
  • A06:2021-Vulnerable and Outdated Components 易受攻击和过时的组件之前的标题是使用具有已知漏洞的组件,在 Top 10 社区调查中排名第二,但也有足够的数据通过数据分析进入前 10 名。此类别从 2017 年的第 9 位上升,是我们努力测试和评估风险的已知问题。它是唯一没有将任何常见漏洞和暴露 (CVE) 映射到包含的 CWE 的类别,因此默认的漏洞利用和影响权重 5.0 被计入其分数。
  • A07:2021-Identification and Authentication Failures 认证和授权失败之前是Broken Authentication,从第二的位置往下滑,现在包括了更多与身份验证失败相关的CWEs。该类别仍然是前 10 名中不可或缺的一部分,但标准化框架的可用性增加似乎有所帮助。
  • A08:2021-Software and Data Integrity Failures 软件和数据完整性故障是 2021 年的新类别,专注于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) 数据映射到此类别的 10 个 CWE 的最高权重影响之一。2017 年的不安全反序列化现在是这个更大类别的一部分。
  • A09:2021-Security Logging and Monitoring Failures 安全日志记录和监控失败以前是 Insufficient Logging & Monitoring,是从行业调查 (#3) 中添加的,从之前的 #10 上升。此类别已扩展以包括更多类型的故障,测试起来具有挑战性,并且在 CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响可见性、事件警报和取证。
  • A10:2021-Server-Side Request Forgery 服务器请求伪造是从 Top 10 社区调查(#1)中添加的。数据显示发生率相对较低,测试覆盖率高于平均水平,以及利用和影响潜力的评级高于平均水平。此类别代表安全社区成员告诉我们这很重要的场景,即使此时数据中未说明这一点。

以上内容摘抄自官方,翻译为谷歌翻译

点击按钮下载博客: