OWASP TOP 10 十大Web应用程序安全风险
OWASP Top 10是开发人员和web应用程序安全的标准意识文档。它代表了对web应用程序最关键的安全风险的广泛共识。
被开发人员公认为迈向更安全编码的第一步。
每个公司应该采纳这份文件,并开始确保他们的web应用程序将这些风险降至最低。使用OWASP Top 10可能是将组织内的软件开发文化转变为产生更安全代码的最有效的第一步。
A1:2021-破坏访问控制
从第五名上升;94%的应用程序进行了某种形式的访问控制中断测试。映射到破坏访问控制的34个常见弱点枚举(CWEs)在应用程序中出现的次数比任何其他类别都多。
A2:2021-密码故障
上升一个位置至#2,以前称为敏感数据暴露,这是广泛的症状而不是根本原因。这里重新关注的是与密码学相关的故障,这通常会导致敏感数据暴露或系统泄露。
A3:2021-注入
滑到第三个位置。94%的应用程序进行了某种形式的注入测试,33个被映射到这一类别的CWEs在应用程序中出现次数第二多。跨站脚本现在是这个版本的这个类别的一部分。
A4:2021-不安全设计
是2021年的一个新类别,重点是与设计缺陷相关的风险。如果我们真的想作为一个行业“向左移动”,就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
A5:2021-安全错误配置
从上一版本的#6升级;90%的应用程序都测试了某种形式的错误配置。随着越来越多的人转向高度可配置的软件,这个类别的上升并不令人惊讶。前一类XML外部实体(XXE)现在属于这一类。
A6:2021-易受攻击和过时的组件
之前的标题是使用具有已知漏洞的组件,在前10名社区调查中排名第二,但也有足够的数据通过数据分析进入前10。这一类别从2017年的第9位上升到第9位,是我们难以测试和评估风险的已知问题。这是唯一一个没有任何通用漏洞和暴露(cve)映射到所包含的cve的类别,因此默认利用和影响权重为5.0将被考虑到它们的分数中。
A7:2021-识别和身份验证失败
之前是破碎的身份验证,从第二个位置向下滑动,现在包括与识别失败更相关的CWEs。这一类别仍然是前10名中不可或缺的一部分,但标准化框架的可用性增加似乎有所帮助。
A8:2021-软件和数据完整性故障
是2021年的一个新类别,重点是在没有验证完整性的情况下,对软件更新、关键数据和CI/CD管道进行假设。常见漏洞和暴露/常见漏洞评分系统(CVE/CVSS)数据的最高加权影响之一映射到该类别中的10个CWEs。2017年开始的不安全反序列化现在是这个更大类别的一部分。
A9:2021-安全记录和监控故障
之前是记录和监控不足,从行业调查(#3)中添加,从之前的#10上升。此类别已扩展到包括更多类型的故障,对测试具有挑战性,并且在CVE/CVSS数据中没有很好地表示。但是,这类失败会直接影响可见性、事件警报和取证。
A10:2021-服务器端请求伪造
从十大社区调查中添加(#1)。数据显示了相对较低的发病率,高于平均水平的测试覆盖率,以及利用和影响潜力的高于平均水平的评级。这个类别代表了安全社区成员告诉我们这很重要的场景,尽管目前没有在数据中说明这一点。
