非營利性組織Open Web Application Security Project (OWASP)發布2021版的Top 10安全漏洞初稿,這是自2017年11月發布OWASP Top 10 2017后的第一個修改。
OWASP Top 10 2017和新OWASP Top 10 2021的映射關系
A01:2021-Broken Access Control失效的訪問控制
這一項排名躍升到第5位,測試發現有94%的應用存在失效的訪問控制。失效的訪問控制漏洞中有34個擁有CVE編號,比其他漏洞出現的概率要高。
A02:2021-Cryptographic Failures加密失效
加密失效排名上身到第二位,2017年版本中的名字為敏感數據泄露。新命名的關注點是與加密相關的失效引發的敏感數據泄露或系統破壞。
A03:2021-Injection注入
注入的排名下降到第3位。測試發現有94%的應用存在注入漏洞,注入漏洞中有33個擁有CVE編號,該漏洞在應用中出現的概率排名第二,跨站腳本攻擊也被歸類到注入漏洞。
A04:2021-Insecure Design不安全的設計
不安全的設計是2021年版本的新種類,主要關于與設計漏洞相關的風險。
A05:2021-Security Misconfiguration安全錯誤配置
安全錯誤配置排名從2017年的第6提升到第5。測試發現有90%的應用存在不同形式的錯誤配置。隨著軟件變得越來越高度可配置化,毫無疑問這類安全漏洞會越來越多。之前版本的XML外部實體(XXE)漏洞也屬于本種類。
A06:2021-Vulnerable and Outdated Components有漏洞和過期的組件
有漏洞和過期的組件之前叫做使用有漏洞的組件。2017年版本的排名為第9,今年上升到第6。這也是唯一一類沒有對應CVE編號漏洞的種類,所以默認漏洞利用和影響權重為5.0。
A07:2021-Identification and Authentication Failures 身份和認證失效
識別和認證失效在2017年版本中叫做認證失效,從排名第2位下降到第7位。相關的CVE漏洞主要與身份失效有關。
A08:2021-Software and Data Integrity Failures 軟件和數據完整性失效
軟件和數據完整性失效是2021年版本中的新種類,主要關注軟件更新、關鍵數據、沒有驗證完整性的CI/CD管道相關的安全問題。2017年版本中不安全的反序列化也屬于該大類。
A09:2021-Security Logging and Monitoring Failures 安全日志和監控失效
安全日志和監控失效在2017年版本中叫做不充足的日志和監控,排名也從第10上升到了第9。這類漏洞在2017年版本上擴展了許多類型的漏洞。這類漏洞會直接影響可見性、應急預警和取證等。
A10:2021-Server-Side Request Forgery 服務端請求偽造
服務器請求偽造在測試過程中出現的概率很低。
