OWASP 2021 草案網址:https://owasp.org/Top10/
Github網址:https://github.com/OWASP/Top10
2021 OWASP Top 10榜單
A01:訪問控制失效(Broken Access Control)從第五位上升到了第一位。94%的應用程序都經過了某種形式的訪問控制失效測試。映射到訪問控制失效的34個CWE在應用程序中的出現頻率比其他任何類別都要多。
A02:2021年,加密失敗(Cryptographic Failure)——此前名為“敏感數據暴露”(Sensitive Data Exposure),這一名稱只是描述了廣泛的症狀而非根本原因——上移到了榜單第二位。此處需要重新關注與密碼學相關的故障,這些故障通常會導致敏感數據暴露或系統受損。
A03:2021年,注入(Injection)下滑到第三位。94%的應用程序都測試了某種形式的注入,注入類別中如今包括跨站腳本。映射到該類別的33個CWE在應用程序中出現次數第二多。
A04:不安全設計(Insecure Design)是2021年出現的新類別,並且一出場就高居第四位。此處需要重點關注與設計缺陷相關的風險。如果我們真的想作為一個行業“左移”,就需要更多地使用威脅建模、安全設計模式和原則以及參考架構。
A05:2021年,安全配置錯誤(Security Misconfiguration)從上一版的第6位上升到了第5位。90%的應用程序都經過了某種形式的錯誤配置測試,隨着轉向高度可配置軟件的趨勢不可逆,看到這一類別排名上升也就不足為奇了。此前版本的XML外部實體注入(XXE)類別現在也被合並為該類別的一部分。
A06:2021年,脆弱過時組件(Vulnerable and Outdated Component)——此前名為“使用具有已知漏洞的組件”(Using Components with Known Vulnerabilities)——也從第6位一躍進入第6位。該類別是唯一一個沒有任何CVE映射到所含CWE的類別,因此默認的漏洞與影響權重計5.0分。
A07:2021年,識別與認證失敗(Identification and Authentication Failure)——此前稱為“身份驗證失效”(Broken Authentication)——排名從此前的第2位降到了第7位,而且該類別目前包含更多與識別失敗相關的CWE。雖然該類別仍然位列Top 10榜單,但標准化框架的可用性增加似乎有助於解決這一問題。
A08:軟件和數據完整性故障(Software and Data Integrity Failure)是2021年新增的一個類別,主要關注缺乏完整性驗證情況下做出與軟件更新、關鍵數據和持續集成/持續交付(CI/CD)流水線相關的各種假設。CVE/CVSS數據最高加權影響之一映射到該類別中的10個CWE。此前版本中的“不安全反序列化”(Insecure Deserialization)類別如今也被歸入這一更大類別。
A09:2021年,安全日志與監測失敗(Security Logging and Monitoring Failure)——此前名為“日志記錄和監控不足”(Insufficient Logging & Monitoring)——從最后一名上升至第9位。而且該類別已擴展納入了其他類型的故障,雖然這些故障難以測試,並且在CVE/CVSS 數據中沒有得到很好的體現,但卻會直接影響可見性、事件警報和取證。
A10:排在最后一位的服務器端請求偽造(Server-Side Request Forgery)是2021年新增的類別。雖然數據顯示其發生率相對較低,但測試覆蓋率卻高於平均水平,並且漏洞利用和影響潛力的評級也高於平均水平。該類別是行業安全專家為我們預警的一種重要場景,盡管目前並沒有數據能夠證實其危險性。