非營利性組織Open Web Application Security Project (OWASP)發(fā)布2021版的Top 10安全漏洞初稿,這是自2017年11月發(fā)布OWASP Top 10 2017后的第一個修改。
OWASP Top 10 2017和新OWASP Top 10 2021的映射關(guān)系
A01:2021-Broken Access Control失效的訪問控制
這一項(xiàng)排名躍升到第5位,測試發(fā)現(xiàn)有94%的應(yīng)用存在失效的訪問控制。失效的訪問控制漏洞中有34個擁有CVE編號,比其他漏洞出現(xiàn)的概率要高。
A02:2021-Cryptographic Failures加密失效
加密失效排名上身到第二位,2017年版本中的名字為敏感數(shù)據(jù)泄露。新命名的關(guān)注點(diǎn)是與加密相關(guān)的失效引發(fā)的敏感數(shù)據(jù)泄露或系統(tǒng)破壞。
A03:2021-Injection注入
注入的排名下降到第3位。測試發(fā)現(xiàn)有94%的應(yīng)用存在注入漏洞,注入漏洞中有33個擁有CVE編號,該漏洞在應(yīng)用中出現(xiàn)的概率排名第二,跨站腳本攻擊也被歸類到注入漏洞。
A04:2021-Insecure Design不安全的設(shè)計(jì)
不安全的設(shè)計(jì)是2021年版本的新種類,主要關(guān)于與設(shè)計(jì)漏洞相關(guān)的風(fēng)險。
A05:2021-Security Misconfiguration安全錯誤配置
安全錯誤配置排名從2017年的第6提升到第5。測試發(fā)現(xiàn)有90%的應(yīng)用存在不同形式的錯誤配置。隨著軟件變得越來越高度可配置化,毫無疑問這類安全漏洞會越來越多。之前版本的XML外部實(shí)體(XXE)漏洞也屬于本種類。
A06:2021-Vulnerable and Outdated Components有漏洞和過期的組件
有漏洞和過期的組件之前叫做使用有漏洞的組件。2017年版本的排名為第9,今年上升到第6。這也是唯一一類沒有對應(yīng)CVE編號漏洞的種類,所以默認(rèn)漏洞利用和影響權(quán)重為5.0。
A07:2021-Identification and Authentication Failures 身份和認(rèn)證失效
識別和認(rèn)證失效在2017年版本中叫做認(rèn)證失效,從排名第2位下降到第7位。相關(guān)的CVE漏洞主要與身份失效有關(guān)。
A08:2021-Software and Data Integrity Failures 軟件和數(shù)據(jù)完整性失效
軟件和數(shù)據(jù)完整性失效是2021年版本中的新種類,主要關(guān)注軟件更新、關(guān)鍵數(shù)據(jù)、沒有驗(yàn)證完整性的CI/CD管道相關(guān)的安全問題。2017年版本中不安全的反序列化也屬于該大類。
A09:2021-Security Logging and Monitoring Failures 安全日志和監(jiān)控失效
安全日志和監(jiān)控失效在2017年版本中叫做不充足的日志和監(jiān)控,排名也從第10上升到了第9。這類漏洞在2017年版本上擴(kuò)展了許多類型的漏洞。這類漏洞會直接影響可見性、應(yīng)急預(yù)警和取證等。
A10:2021-Server-Side Request Forgery 服務(wù)端請求偽造
服務(wù)器請求偽造在測試過程中出現(xiàn)的概率很低。
