OWASP Top 10 2021 中文簡介

A01：2021-Broken Access Control 失效的訪問控制：從第五位上升；94% 的應用程序都經過了某種形式的破壞訪問控制的測試。映射到 Broken Access Control 的 34 個 CWE 在應用程序中出現的次數比

任何其他類別都多。

A02：2021-Cryptographic Failures 加密失敗：上移一位至 #2，以前稱為敏感數據泄露，這是廣泛的癥狀而不是根本原因。此處重新關注與密碼學相關的漏洞，這些漏洞通常會導致敏感數據泄露或系統受

損。

A03：2021-Injection 注入：下滑到第三位。94% 的應用程序都針對某種形式的注入進行了測試，映射

到此類別的 33 個 CWE 在應用程序中的出現次數排名第二。跨站點腳本攻擊

現在是此版本中此類別的一部分。

A04：2021-不安全的設計：是 2021 年的一個新類別，重點關注與設計缺陷相關的風險。如果我們真的

想作為一個行業“安全左移”，就需要更多地使用威脅建模、安全設計模式和原

則以及參考架構。

A05：2021-安全配置錯誤：從上一版的第 6 位上升；90% 的應用程序都經過了某種形式的錯誤配置

測試。隨著更多定制性高度可配置的軟件，看到這一類別上升也就不足為奇了。XML 外部實體 (XXE) 的前一個類別現在屬于此類別。

OWASP Top 10 2021 中文簡介

A06:2021-Vulnerable and Outdated Components 易受攻擊和過時的組件 ：之前的標題是 使用具有已知漏洞的組件，在行業調查中排名第二，但也有

足夠的數據通過數據分析進入前 10 名。該類別從 2017 年的第 9 位上升，是我們難以測試和評估風險的已知問題。它是唯一沒有任何 CVE 映射到包含的

CWE 的類別，因此默認的利用和影響權重 5.0 被計入他們的分數。

A07:2021-Identification and Authentication Failures 認證和授權失敗：以前是 Broken Authentication 失效的身份認證并且從第二位下滑，現在

包括與識別失敗更多相關的 CWE。這個類別仍然是前 10 名的一個組成部分，

但標準化框架的可用性增加似乎有所幫助。

A08:2021-軟件和數據完整性故障：是 2021 年的一個新類別，專注于在不驗證完整性的情況下做出與軟件更

新、關鍵數據和 CI/CD 管道相關的假設。CVE/CVSS 數據的最高加權影響之一

映射到該類別中的 10 個 CWE。2017 年的不安全反序列化現在是這一更大類

別的一部分。

A09:2021-安全日志記錄和監控失敗：以前是日志記錄和監控不足，是從行業調查 (#3) 中添加的，從之前的 #

10 上升。此類別已擴展為包括更多類型的故障，難以測試，并且在 CVE/CVSS

數據中沒有得到很好的體現。但是，此類故障會直接影響可見性、事件警報和

取證。

A10:2021-Server-Side Request Forgery 服務器請求偽造

是從行業調查 (#1) 中添加的。數據顯示發生率相對較低，測試覆蓋率高于

平均水平，并且利用和影響潛力的評級高于平均水平。此類別代表行業專業人士

告訴我們這很重要的場景，即使目前數據中沒有說明。