OWASP Top 10 2021 报告
OWASP Top 10 是面向开发者和 Web 应用程序安全性的标准认知文档。它代表了对 Web 应用程序的最关键安全风险的广泛共识。
应用程序和 API 的威胁格局会不断发生变化。在这个发展的过程中,其关键因素是新技术(包括云、容器和 API)的快速采用、软件开发流程(如敏捷开发和 DevOps 等)的加速和自动化、第三方库和框架的爆炸式增长以及攻击者技术的提高。这些因素使得应用程序和 API 越来越难以分析,会明显改变威胁格局。为了跟上形势,OWASP 组织会定期更新 OWASP Top 10 报告。
从 AppScan Enterprise 10.0.7 开始,支持 OWASP Top 10 2021 报告。
2021 年 Top 10 报告的更改内容
新增了三个类别,有四个类别进行了命名和范围更改,并在 2021 年的 Top 10 报告中进行了一些合并。进行了名称更改,以将重点放在根本原因而不是症状上。
| 2021 | 与 2017 年相比有哪些更改 |
|---|---|
| A01 中断的访问控制⇧ | 具有最严重的 Web 应用程序安全风险的类别排名从第 5 位上升。 |
| A02 加密失败⇧ | 先前称为“A3:2017-敏感数据暴露”,从第 3 位上升,就像以前暗含的意义那样,重点关注与加密相关的失败。此类别通常会导致敏感数据泄露或系统受损。 |
| A03 注入⇩ | 从第 1 位下滑。“A07:2017-跨站点脚本编制 (XSS)” 现在是此类别的一部分。 |
| A04 不安全的设计(新增) | 新增的类别,关注与设计缺陷相关的风险。 |
| A05 安全配置⇧ | 从第 6 位上升。“A4:2017-XML 外部实体”现在是此类别的一部分。 |
| A06 易受攻击且过时的组件⇧ | 先前称为“A09:2017-使用具有已知漏洞的组件”,从第 9 位上升。 |
| A07 标识和认证失败⇩ | 先前称为“A02:2017-中断的认证” ,从第 2 位下滑。此类别现在包含与标识失败更相关的常见弱点枚举 (CWE) 。 |
| A08 软件和数据完整性失败 (新增) | 新增的类别,侧重于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。映射到此类别中的 10 个 CWE 的常见漏洞和暴露/常见漏洞评分系统 (CVE/CVSS) 数据中权重最高的影响之一。“A8:2017--不安全反序列化”现在是这个更大类别的一部分。 |
| A09 安全记录和监视失败⇧ | 先前称为“A10:2017-记录和监控不足”,从第 10 位上升。对该类别进行了扩展,以包含更多类型的失败,测试具有挑战性,并且在 CVE/CVSS 数据中没有得到很好的表示。但是,此类别的失败会直接影响可视性、事件警报和取证。 |
| A10 服务器端请求伪造 (SSRF)(新增) | 根据安全社区成员报告的重要性新增的类别。 |
| ⇧ ⇩ 表示相对于 2017 年报告的位置 (A0-A10) 变化。 | |