2021 OWASP Top 10釋出——Broken Access Control 躍居榜首
OWASP Top 10 是面向開發人員和 Web 應用程式安全性的標準意識文件。它代表了對 Web 應用程式最關鍵的安全風險的廣泛共識。
OWASP Top 10是每個Web應用程式的最低或基本安全測試要求。
OWASP Top 10於2003年首次推出,經過多次修訂,當前提供的是2021年的報告草案。
OWASP表示, “OWASP Top 10 2021是一個良好的開端,可以用其作為檢查缺陷漏洞等的基本標準,但僅靠這一項還不夠”。
2021年前10名發生了什麼變化
有三個新類別,四個類別的命名和範圍發生了變化,並在 2021 年的前 10 名中進行了一些合併。
2021年OWASP前10名
A01:2021 – 損壞的訪問控制
A01:2021-Broken Access Control從第五位上升,它也被稱為授權,它定義了 Web 應用程式如何向某些使用者而不是其他使用者授予對內容和功能的訪問許可權。
94%的應用程式都經過了某種形式的破壞訪問控制的測試。對映到Broken Access Control的34個CWE在應用程式中出現的次數比任何其他類別都多。
A02:2021 – 加密失敗
A02:2021-Cryptographic Failures 上移一位至 #2,以前稱為敏感資料暴露,缺乏加密通常會導致敏感資料暴露或系統受損。此處重新關注與密碼學相關的故障,這些故障通常會導致敏感資料暴露或系統受損。
A03:2021-注入
A03:2021-Injection從第一名下降到第三名。94% 的應用程式都針對某種形式的注入進行了測試,對映到此類別的33個CWE在應用程式中出現次數第二多。跨站點指令碼編寫現在是此版本中此類別的一部分。它是一種攻擊者利用未經驗證的輸入漏洞並透過在後端資料庫中執行的 Web 應用程式注入SQL命令的技術。
A04:2021 – 不安全的設計
A04:2021-不安全設計是2021 年的一個新類別,重點關注與設計缺陷相關的風險。如果我們真的想“安全左移”,就需要更多地使用威脅建模、安全設計模式和原則以及參考架構。
A05:2021 – 安全配置錯誤
A05:2021-安全配置錯誤從上一版的第 6 位上升至第5;90% 的應用程式都經過了某種形式的錯誤配置測試。隨著更多轉向高度可配置的軟體,看到這一類別上升也就不足為奇了。XML外部實體 (XXE) 的前一個類別現在屬於此類別。它側重於跨應用程式堆疊的安全加固或對雲服務的許可權配置不當。
A06:2021 – 易受攻擊和過時的元件
A06:2021-Vulnerable and Outdated Components之前的標題是 使用具有已知漏洞的元件,在行業調查中排名第二。該類別從2017年的第9位上升,是我們難以測試和評估風險的已知問題。它是唯一沒有任何CVE對映到包含的CWE的類別,因此預設的利用和影響權重分數計5.0。因為沒有足夠的攻擊資料可用,此類別重點關注客戶端和伺服器端使用的所有元件的易受攻擊版本。
A07:2021 – 識別和認證失敗
A07:2021-Identification and Authentication Failures以前是 Broken Authentication並且從第二位下滑,現在側重於身份驗證失敗相關的CWE。它會導致自動攻擊,例如攻擊者使用使用者名稱和密碼列表的憑據填充。這個類別仍然是前10名的一個組成部分,但標準化框架的可用性增加似乎有所幫助。
A08:2021 – 軟體和資料完整性故障
A08:2021-軟體和資料完整性故障是 .2021 年的一個新類別,專注於在不驗證完整性的情況下做出與軟體更新、關鍵資料和 CI/CD 管道相關的假設。CVE/CVSS 資料的最高加權影響之一對映到此類別中的10個CWE。2017 年的不安全反序列化現在是這一更大類別的一部分。
A09:2021 – 安全日誌記錄和監控失敗
A09:2021-安全日誌記錄和監控失敗以前是 日誌記錄和監控不足,是從行業調查 (#3) 中新增的,從之前的#10上升。此類別已擴充套件為包括更多型別的故障,如難以測試,並且在CVE/CVSS 資料中沒有得到很好的體現。此類別有助於檢測、升級和響應活動的違規行為。
A10:2021 – 伺服器端請求偽造 (SSRF)
A10:2021-Server-Side Request Forgery是從行業調查 (#1) 中新增的。資料顯示發生率相對較低,測試覆蓋率高於平均水平,並且利用和影響潛力的評級高於平均水平。此類別側重於保護 Web 應用程式在不驗證使用者提供的 URL 的情況下獲取遠端資源的連線。
可以發現,在OWASP Top 10中,一些安全漏洞是可以提前檢測和發現的,這在一定程度上有助於提高軟體安全性。如使用 靜態程式碼分析工具可以查詢是否沒有日誌記錄。
尤其隨著對軟體安全愈加重視開發團隊逐漸“安全左移”,OWASP Top 10可以作為安全程式碼審查和編碼標準的最低限度,以檢測程式碼缺陷及問題,利於開發人員發現問題缺陷和安全漏洞,在軟體開發期間及時修改缺陷,提高軟體自身安全性,為網路安全防禦做好重要補充工作。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2791935/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- OWASP TOP 10 2021
- 如何測試OWASP Top 10
- OWASP IoT Top 10 釋出,來看看物聯網安全的十大坑
- OWASP Top 10關鍵點記錄
- 3月出海收入TOP30發行商:博樂遊戲躍居TOP20遊戲
- RedMonk:2021年6月程式語言 JavaScript居榜首JavaScript
- Gartner:2021全球晶片買家TOP10 蘋果高居榜首晶片蘋果
- RBAC(Role-Based Access Control)
- No ‘Access-Control-Allow-Origin’ headerHeader
- 為什麼 OWASP API 安全Top 10 對企業很重要API
- 網安雲知識 | OWASP TOP 10之安全配置錯誤
- TOP 500 :2021年6月全球超算Top10排名 日本超算Fugaku守住榜首
- 2020上半年手遊最強使用者增長Top100:位元組跳動躍居榜首,和平精英三年蟬聯冠軍
- Gitea CORS Access-Control-Allow-Origin 的問題GitCORS
- 跨域問題(CORS / Access-Control-Allow-Origin)跨域CORS
- 2024春運資料包告: 出行類App活躍度大幅攀升,珠三角“瘦身”程度居榜首APP
- IEEE Spectrum:2021 年 top 程式語言排名 Python各項維度都是榜首Python
- 彭博全球科技富翁排行榜出爐,亞馬遜貝佐斯居榜首亞馬遜
- 防火牆入侵於檢測————6、Access Control Lists and Content Filtering防火牆Filter
- 《消費者報告》:2021年汽車品牌榜單 馬自達躍至榜首
- 2019年1月份安兔兔千元手機價效比排行榜TOP10,紅米Note 7位居榜首
- 5月出海Top30固化加重,《PUBG Mobile》坐穩榜首
- Apache解決Access-Control-Allow-Origin多域名跨域問題Apache跨域
- 瀏覽器報`The value of the ‘Access-Control-Allow-Origin‘ header in the response must not be the wildcard瀏覽器Header
- No 'Access-Control-Allow-Origin' header: 跨域問題踩坑記錄Header跨域
- Request header field content-type is not allowed by Access-Control-Allow-Headers in preflight responHeader
- NodeJS+Express解決跨域問題:Access-Control-Allow-OriginNodeJSExpress跨域
- PS4Trophies:2019年最難白金遊戲Top 10 《鬼泣 5》位居榜首遊戲
- CCFA:2023年中國超市TOP100出爐 沃爾瑪(中國)以1202億元銷售額連續第三年穩居榜首
- 「Pop SOTA!List for AI Developers 2021」社群評價 TOP 128 價值工作完整名錄釋出!AIDeveloper
- Java 10釋出Java
- 歐盟釋出2018全球企業研發費用榜單:華為超蘋果躍居第5,BAT排名50開外蘋果BAT
- 閒魚:十大轉賣理由 “老婆不讓”穩居榜首
- Omdia:2021全球暢銷手機榜單 三星A12居榜首 小米成唯一國產品牌
- WIPO:2021年中國PCT國際專利申請量連續三年位居榜首
- axios跨域問題 No ‘Access-Control-Allow-Origin‘ header is present on the requested resource.iOS跨域Header
- java11新特性—Nest-Based Access Control(巢狀訪問控制)Java巢狀
- java11新特性---Nest-Based Access Control(巢狀訪問控制)Java巢狀