OWASP發布2021年十大Web應用安全風險榜單

近日，OWASP發布了2021年Top 10十大Web應用安全風險榜單的草案，增加了三個新的類別，同時部分安全風險的排名發生變化。

OWASP Top 10是每個Web應用程序的最低或基本安全測試要求，于2003年首次推出，經過多次修訂，近日發布了2021年的報告草案。相比上一個正式版本，新增了三個風險，大多數風險名稱和排名發生較大變化：

如上圖所示，“訪問控制失陷”取代“注入”升至排名第一，而“不安全設計”、“軟件與數據完整性故障”和“安全日志與監控失效”首次進入TOP10榜單。

以下是2021年OWASP Top 10 十大Web應用安全威脅：

01

2021–失陷的訪問控制

從2017年的第五位上升到頂部，訪問控制也被稱為授權，它定義了Web應用程序如何向某些用戶而不是其他用戶授予對內容和功能的訪問權限。

02

2021–加密失敗

從第三位上升到第二位，以前稱為敏感數據暴露。缺乏加密通常會導致敏感數據暴露或系統受損。

03

2021–注入

從第一位下降到第三位，它是一種攻擊者利用未經驗證的輸入漏洞并通過在后端數據庫中運行Web應用程序注入SQL命令的技術。

04

2021–不安全的設計

這是OWASP Top 2021的一個新類別，它關注與設計和架構缺陷相關的風險。

“不安全設計是一個廣泛的類別，代表許多不同的弱點，表現為缺失或無效的控制設計”。

05

2021–安全配置錯誤

從第六位上升到第五位，它側重于跨應用程序堆棧的安全加固或對云服務的權限配置不當。

06

2021–易受攻擊和過時的組件

該風險從第二位大幅下滑至第六位，因為沒有足夠的攻擊數據可用，此類別重點關注客戶端和服務器端使用的所有組件的易受攻擊版本。

07

2021–識別和認證失敗

以前被稱為失陷的身份驗證，此類別側重于身份驗證失敗。

它會導致自動攻擊，例如攻擊者使用用戶名和密碼列表的憑據填充。

08

2021–軟件和數據完整性故障

這是OWASP Top 10 2021中引入的一個新類別，它側重于與無法防止完整性違規的代碼和基礎設施相關的軟件和數據完整性故障。

09

2021–安全日志記錄和監控失敗

從第十位上升至第九位，此類別有助于檢測、升級和響應主動攻擊。

10

2021–服務器端請求偽造(SSRF)

此類別側重于保護Web應用程序在不驗證用戶提供的URL的情況下獲取遠程資源的連接。

參考資料

https://owasp.org/www-project-top-ten/