2021 OWASP Top 10釋出——Broken Access Control 躍居榜首

OWASP Top 10 是面向開發人員和 Web 應用程式安全性的標準意識文件。它代表了對 Web 應用程式最關鍵的安全風險的廣泛共識。

OWASP Top 10是每個Web應用程式的最低或基本安全測試要求。

OWASP Top 10於2003年首次推出，經過多次修訂，當前提供的是2021年的報告草案。

OWASP表示， “OWASP Top 10 2021是一個良好的開端，可以用其作為檢查缺陷漏洞等的基本標準，但僅靠這一項還不夠”。

2021年前10名發生了什麼變化

有三個新類別，四個類別的命名和範圍發生了變化，並在 2021 年的前 10 名中進行了一些合併。

2021年OWASP前10名

A01:2021 – 損壞的訪問控制

A01:2021-Broken Access Control從第五位上升,它也被稱為授權，它定義了 Web 應用程式如何向某些使用者而不是其他使用者授予對內容和功能的訪問許可權。

94%的應用程式都經過了某種形式的破壞訪問控制的測試。對映到Broken Access Control的34個CWE在應用程式中出現的次數比任何其他類別都多。

A02:2021 – 加密失敗

A02:2021-Cryptographic Failures 上移一位至 #2，以前稱為敏感資料暴露，缺乏加密通常會導致敏感資料暴露或系統受損。此處重新關注與密碼學相關的故障，這些故障通常會導致敏感資料暴露或系統受損。

A03:2021-注入

A03:2021-Injection從第一名下降到第三名。94% 的應用程式都針對某種形式的注入進行了測試，對映到此類別的33個CWE在應用程式中出現次數第二多。跨站點指令碼編寫現在是此版本中此類別的一部分。它是一種攻擊者利用未經驗證的輸入漏洞並透過在後端資料庫中執行的 Web 應用程式注入SQL命令的技術。

A04:2021 – 不安全的設計

A04:2021-不安全設計是2021 年的一個新類別，重點關注與設計缺陷相關的風險。如果我們真的想“安全左移”，就需要更多地使用威脅建模、安全設計模式和原則以及參考架構。

A05:2021 – 安全配置錯誤

A05:2021-安全配置錯誤從上一版的第 6 位上升至第5;90% 的應用程式都經過了某種形式的錯誤配置測試。隨著更多轉向高度可配置的軟體，看到這一類別上升也就不足為奇了。XML外部實體 (XXE) 的前一個類別現在屬於此類別。它側重於跨應用程式堆疊的安全加固或對雲服務的許可權配置不當。

A06:2021 – 易受攻擊和過時的元件

A06:2021-Vulnerable and Outdated Components之前的標題是 使用具有已知漏洞的元件，在行業調查中排名第二。該類別從2017年的第9位上升，是我們難以測試和評估風險的已知問題。它是唯一沒有任何CVE對映到包含的CWE的類別，因此預設的利用和影響權重分數計5.0。因為沒有足夠的攻擊資料可用，此類別重點關注客戶端和伺服器端使用的所有元件的易受攻擊版本。

A07:2021 – 識別和認證失敗

A07:2021-Identification and Authentication Failures以前是 Broken Authentication並且從第二位下滑，現在側重於身份驗證失敗相關的CWE。它會導致自動攻擊，例如攻擊者使用使用者名稱和密碼列表的憑據填充。這個類別仍然是前10名的一個組成部分，但標準化框架的可用性增加似乎有所幫助。

A08:2021 – 軟體和資料完整性故障

A08:2021-軟體和資料完整性故障是 .2021 年的一個新類別，專注於在不驗證完整性的情況下做出與軟體更新、關鍵資料和 CI/CD 管道相關的假設。CVE/CVSS 資料的最高加權影響之一對映到此類別中的10個CWE。2017 年的不安全反序列化現在是這一更大類別的一部分。

A09:2021 – 安全日誌記錄和監控失敗

A09:2021-安全日誌記錄和監控失敗以前是 日誌記錄和監控不足，是從行業調查 (#3) 中新增的，從之前的#10上升。此類別已擴充套件為包括更多型別的故障，如難以測試，並且在CVE/CVSS 資料中沒有得到很好的體現。此類別有助於檢測、升級和響應活動的違規行為。

A10:2021 – 伺服器端請求偽造 (SSRF)

A10:2021-Server-Side Request Forgery是從行業調查 (#1) 中新增的。資料顯示發生率相對較低，測試覆蓋率高於平均水平，並且利用和影響潛力的評級高於平均水平。此類別側重於保護 Web 應用程式在不驗證使用者提供的 URL 的情況下獲取遠端資源的連線。

可以發現，在OWASP Top 10中，一些安全漏洞是可以提前檢測和發現的，這在一定程度上有助於提高軟體安全性。如使用 靜態程式碼分析工具可以查詢是否沒有日誌記錄。

尤其隨著對軟體安全愈加重視開發團隊逐漸“安全左移”，OWASP Top 10可以作為安全程式碼審查和編碼標準的最低限度，以檢測程式碼缺陷及問題，利於開發人員發現問題缺陷和安全漏洞，在軟體開發期間及時修改缺陷，提高軟體自身安全性，為網路安全防禦做好重要補充工作。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：