OWASP TOP 10
OWASP TOP 102021年版Top 10有哪些变化?
2021年版Top 10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些
整合。
https://img2024.cnblogs.com/blog/2972727/202404/2972727-20240418091130695-1784896909.png
2017年 TOP 10
[*]top 01:注入(2017-Injection)
[*]top 02:失效的身份认证(2017-Broken Authentication)
[*]top 03:敏感信息走漏(2017-Sensitive Data Exposure)
[*]top 04:XML外部实体(2017-XML External Entities,简称XXE)
[*]top 05:越权访问(2017-Broken Access Control)
[*]top 06:安全配置错误(2017-Security Misconfiguration)
[*]top 07:跨站脚本(2017-Cross-Site Scripting,简称XSS)
[*]top 08:不安全的反序列化(2017-Insecure Deserialization)
[*]top 09:使用含有已知漏洞的组件(2017-Using Components with Known Vulnerabilities)
[*]top 10:不足的日志记载和监控(2017-Insufficient Logging&Monitoring)
2021年 TOP 10
[*]top 01:越权访问(2021-Broken Access Control)
[*]top 02:加密失败(2021-Cryptographic Failures)
[*]top 03:注入(2021-Injection)
[*]top 04:不安全的计划(2021-Insecure Design)
[*]top 05:安全配置错误(2021-Security Misconfiguration)
[*]top 06:易受攻击和过时的组件(2021-Vulnerable and Outdated Components)
[*]top 07:身份验证与认证失败(2021-Identification and Authentication Failures)
[*]top 08:软件和数据完备性故障(2021-Software and Data Integrity Failures)
[*]top 09:安全日志记载和监控故障(2021-Security Logging and Monitoring Failures)
[*]top 10:服务端请求伪造(2021-Server-Side Request Forgery)
2021版变化说明
TOP 10变化A01:2021-失效的访问控制 Broken Access Control从第5位上升成为Web应用程序安全风险最严峻的类别;提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数凌驾31.8万次。在应用程序中出现的34个匹配为“失效的访问控制”的CWE次数比任何其他类别都多。A02:2021-加密机制失效 Cryptographic Failures排名上升一位。其以前被称为“A3:2017-敏感信息走漏(Sensitive Data Exposure)”。敏感信息走漏是常见的症状,而非根本缘故原由。更新后的名称侧重于与密码学相关的风险,即之前已经隐含的根本缘故原由。此类风险通常会导致敏感数据泄露或系统被攻破。A03:2021-注入 Injection排名下滑两位。94%的应用程序进行了某种形式的注入风险测试,发生安全事件的最大率为19%,平均率为3.37%,匹配到此类别的33个CWE共发生27.4万次,是出现第二多的风险类别。原“A07:2017-跨站脚本(XSS)”在2021年版中被纳入此风险类别。A04:2021-不安全计划 Insecure Design2021年版的一个新类别,其重点关注与计划缺陷相关的风险。如果我们真的想让整个行业“安全左移” ,我们需要更多的威胁建模、安全计划模式和原则,以及参考架构。不安全计划是无法通过完善的编码来修复的;由于根据定义,所需的安全控制从来没有被创建出来以抵抗特定的安全攻击。A05:2021-安全配置错误 Security Misconfiguration排名上升一位。90%的应用程序都进行了某种形式的配置错误测试,平均发生率为4.5%,凌驾20.8万次的CWE匹配到此风险类别。随着可高度配置的软件越来越多 , 这一类别 的风险也开始 上 升 。 原“A04:2017-XML External Entities(XXE) XML外部实体”在2021年版中被纳入此风险类别。A06:2021-自带缺陷和过时的组件 Vulnerable and Outdated Components排名上升三位。在社区调查中排名第2。同时,通过数据分析也有充足的数据进入前10名,是我们难以测试和评估风险的已知标题。它是唯逐一个没有发生CVE漏洞的风险类别。因此,默认此类别的利用和影响权重值为5.0。原类别命名为“A09:2017-Using Componentswith Known Vulnerabilities 使用含有已知漏洞的组件”。A07:2021-身份识别和身份验证错误 Identification and Authentication Failures排名下滑五位。原标题“A02:2017-Broken Authentication失效的身份认证”。现在包罗了更多与识别错误相关的CWE。这个类别仍然是Top 10的组成部分,但随着尺度化框架使用的增长,此类风险有淘汰的趋势。A08:2021-软件和数据完备性故障 Software and Data Integrity Failures2021年版的一个新类别,其重点是:在没有验证完备性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹配的CWE类别,并且拥有最高的平均加权影响值。原“A08:2017-Insecure Deserialization不安全的反序列化”现在是本大类的一部分。A09:2021-安全日志和监控故障 Security Logging and Monitoring Failures排名上升一位。泉源于社区调查(排名第3)。原名为“A10:2017-Insufficient Logging & Monitoring 不足的日志记载和监控”。此类别现扩大范围,包罗了更多类型的、难以测试的故障。此类别在CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响可见性、事件告警和取证。A10:2021-服务端请求伪造 Server-Side Request Forgery2021年版的一个新类别,泉源于社区调查(排名第1)。数据表现发生率相对较低,测试覆盖率高于平均程度,并且利用和影响潜力的评级高于平均程度。加入此类别风险是说明:即使现在通过数据没有体现,但是安全社区成员告诉我们,这也是一个很重要的风险。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]