OWASP 2021 年前 10 大報告
OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表對於 Web 應用程式最重大安全性風險的廣泛共識。
應用程式和 API 的威脅趨勢持續變更。這個發展的關鍵因素是快速採用新技術(包括雲端、儲存器和 API)、軟體開發程序的加速和自動化(例如 Agile 和 DevOps)、第三方程式庫和架構的展開,以及攻擊者的進展。這些因素經常會讓應用程式和 API 更難以分析,而且會大幅變更威脅趨勢。為了保持步調,OWASP 組織會定期更新 OWASP Top 10 報告。
從 AppScan Enterprise 10.0.7 開始,會支援 OWASP Top 10 2021 報告。
2021 年 Top 10 的變更內容
新增了三個新種類、命名和變更四個種類的範圍,以及 2021 年 Top 10 中的一些合併。已進行名稱變更,將焦點放在症狀的主要原因之上。
| 2021 | 從 2017 年變更的內容 |
|---|---|
| A01 中斷的存取控制 ⇧ | 從 #5 向上移動為具有最嚴重 Web 應用程式安全風險的種類。 |
| A02 加密失敗 ⇧ | 先前稱為 A3:2017-機密資料洩露,從 #3 向上移動,著重在與加密法相關的失敗,如先前所暗示的一樣。這個種類經常導致機密資料洩露或系統入侵。 |
| A03 注入 ⇩ | 從 #1 向下滑動。A07:2017-跨網站 Scripting (XSS) 現在是這個種類的一部分。 |
| A04 不安全的設計(新增) | 專注於設計缺失相關風險的新增種類。 |
| A05 安全配置錯誤 ⇧ | 從 #6 向上移動。A4:2017-XML外部實體 (XXE) 現在是此種類的一部分。 |
| A06 有漏洞和過期的元件 ⇧ | 先前稱為 A09:2017-使用具有已知漏洞的元件,從 #9 向上移動。 |
| A07 識別和鑑別失敗 ⇩ | 先前稱為 A02:2017-中斷鑑別,從 #2 向下滑動。這個種類現在包含與識別失敗更相關的「一般弱點列舉 (CWE)」。 |
| A08 軟體和資料完整性失敗(新增) | 新增的種類,專注於做出與軟體更新、重要資料及 CI/CD 管線相關的假設,而不驗證完整性。「一般漏洞和曝光/一般漏洞評分系統 (CVE/CVSS)」資料對映到這個種類中的 10 個 CWE 的其中一項最高加權影響。A8:2017-不安全的解除序列化現在是這個較大種類的一部分。 |
| A09 安全記載和監視失敗 ⇧ | 先前稱為 A10:2017-記載和監視不足不足,從 #10 向上移動。其已經過擴充以包含更多類型的失敗、其測試具有挑戰性,且未在 CVE/CVSS 資料中適當呈現。不過,此種類中的失敗可能會直接影響可見性、發生事件警示及取證。 |
| A10 偽造伺服器端要求 (SSRF)(新增) | 根據安全社群成員所報告之重要性的新增種類。 |
| ⇧ ⇩ 指出相對於 2017 報告的位置變更 (A0-A10)。 | |