2021 OWASP Top 10 榜单(初稿)发布,头牌易主

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

OWASP Top 10 榜单列出的是最危险的 web 漏洞,时隔四年且十多年以来,该榜单霸主易主。

OWASP Top 10 榜单创建于21世纪头十年中期,由全球安全专家组成的非营利性基金会 OWASP (Open Web Application Security Project) 策划而来。虽然该榜单并非官方文档,但常用于网络安全圈子,用于评估基于 web 的应用中漏洞的重要性和严重性。例如,漏洞奖励平台将 OWASP Top 10 榜单作为评估需要马上修复或值得更多现金奖励的漏洞的依据。

随着新编程语言和新技术的不断涌现,web 编程局势及其应用程序不断演进,OWAWSP 专家通常会在每隔三四年后更新 Top 10 排行榜,调整各个条目的位置以反映当前的 web app 生态系统。

上一次,该榜单的调整时间是在2017年11月。

不过在上周,OWASP 团队公开对即将发布的榜单征询意见。该榜单与以往完全不同,且榜首也易主。

OWASP 基金会解释了2017年和2021年漏洞排名的变化:

(1)A01:2021-访问控制崩溃 (Broken Access Control):从原来的排名第5上升至排名第1;94%的所测应用程序中均存在某种形式的访问控制崩溃情况。应用程序中映射到访问控制崩溃的34个CWE漏洞,比其它类别的漏洞更多。

(2)A02:2021-加密失败 (Cryptographic Failure):排名上升了2位,升至第2名。此前被称为“敏感数据暴露”,但它只是宽泛的表现而非根本原因。更名后的“加密失败”强调的是和加密相关的失败,通常会导致敏感数据暴露或系统失陷。

(3)A03:2021-注入:下滑至第3名,94%的所测应用程序中存在某种形式的注入漏洞,该类型映射33个CWE漏洞,是应用程序中存在的第二大漏洞。在新版本中,跨站点脚本(XSS)成为注入类型的组成部分。

(4)A04:2021-不安全的设计,是2021年版本的新增类型,关注的是和设计缺陷相关的风险。如果行业真正想要“左移”,那么就需要更多地使用威胁建模、安全的设计模式和原则、以及引用架构。

(5)A05:2021-安全配置不当,从第6名上升至当前的第5名;90%的所测应用程序中存在某种形式的配置不当问题。随着向高度可配置软件的转变,该类漏洞的排名上升也属正常。此前的 “XML 外部实体 (XEE)”漏洞类型现在属于该类型的组成部分。

(6)A06:2021-易受攻击和过时的组件,此前该类型名为“使用含有已知漏洞的组件“,不仅在行业调查中排名第2,而且数据分析表明有足够数据在 Top 10 中占据一席之地。该类型在2017年时排名第9,是我们竭力测试并评估风险的已知问题。这是唯一一个不存在可映射到已有 CWE 的CVE 漏洞的类型,因此分数中的默认利用和影响权重为5.0。

(7)A07:2021-识别和认证失败,该类型此前名为“认证崩溃“且原先排名为第2名,当前包括和识别失败更具有相关性的 CWE。该类别仍然是 Top 10 榜单的组成部分,不过标准化框架的可用性不断增强,似乎起到更大的作用。

(8)A07:2021-软件和数据完整性失败是2021年的新增类型,专注于和软件更新、关键数据和 CI/CD 管道相关的假设设置且不设计完整性验证。在这个类型中,从CVE/CVSS数据映射到10个CWE的权重最高的影响之一。2017年的“不安全的反序列化”类型如今成为更大类型的组成部分。

(9)A08:2021-安全日志记录和监控失败,此前名为“日志记录和监控不充分“,在行业调查中名列第3,原先名列第10。该类型涵盖的失败类型增多,测试难度增强,也并未在 CVE/CVSS 数据中得到很好的表示。然而,这种失败类型可直接影响可见性、时间警报和取证。

(10)A10:2021-服务器端请求伪造为新增,在行业调查中排名第1。它的测试覆盖率的事件比率高于平均水平,“利用”和“影响”的可能性比率也高于平均水平。该类型代表的是这样一种场景:行业专业人士一直在指出该类型的重要性,即使目前并未得到数据证实。

历年榜单

2021年的榜单是继2007年以来,“注入”漏洞类型第一次未列榜首。原因在于web 应用程序变得愈加复杂,而且它们经常是 API 的合集,当结合配置选项时,可引发配置不当、终端不受保护或交互无法预知的情况。

OWASP 计划于今年年底配准该榜单。

虽然目前仍是“草案”状态,但预计排名将维持不变,并不会出现大量负面反馈。从上周发布后的情况来看,确实如此。


开奖啦!!!!!】
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。

如下是本书相关讲解:

(0)

相关推荐

  • OpenSSL发布了2个高危漏洞的补丁程序

    OpenSSL的维护者已经发布了针对其软件中的两个高度严重的安全漏洞的修复程序,该漏洞可被利用来进行拒绝服务(DoS)攻击并绕过证书验证. 跟踪为CVE-2021-3449和CVE-2021-3450 ...

  • 2021年CISA和MITRE漏洞列表回顾

    去年夏天,美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 与英国和澳大利亚的部队合作,发布了 2020 年最常被利用的 30 个漏洞列表(以及一些在 2021 年被利用的漏洞). ...

  • 2021年一月份恶意软件之“十恶不赦”排行榜

    回顾2020年,微软的漏洞安全补丁发布基本上都维持在100以上,而到了2021一月份则回归到80多个,微软2021年2月份下降到56个漏洞安全补丁.当然,漏洞安全补丁不是越多越好,也不是越少越好.如果 ...

  • 2021年二月份恶意软件之“十恶不赦”排行榜

    最近一直在整理有关等级保护相关内容,有关这个系列还需要坚持下去.本月我们已经从微软方面揭晓,微软周二发布了包括多达89个安全漏洞的补丁,其中Internet Explorer中被积极利用的零日漏洞的修 ...

  • 还在用思科的Webex会议进行远程工作?思科警告:现在就打补丁吧!

    E安全11月9日讯  据外媒报道,思科(Cisco)发现了一个安全漏洞,会影响使用其Windows虚拟桌面应用Webex Meetings的远程员工. Webex Meetings是企业与团队成员进行 ...

  • DefenseCode — 信息安全测试工具

    DefenseCode是一家AST(应用程序安全测试)领域的专业供应商,专注于信息安全咨询与缺陷研究.DefenseCode提供的产品旨在使用动态应用程序安全测试(DAST.黑盒测试)和静态应用程序安 ...

  • 2021年五月份恶意软件之“十恶不赦”排行榜

    六月份,<中华人民共和国数据安全法>发布,将于2021年9月1日正式实施,将把我国的网络安全带上一个新台阶.无论在信息安全,还是网络安全,抑或是数据安全,最终还是要落到人身上,在美国IAT ...

  • 微软周二例行安全更新:修复四个远程桌面漏洞,但还有一个CTF协议漏洞没有对应补丁

    微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作.编号为 CVE-2019-1181.CVE-2019-1182.CVE-2019-1222 ...

  • 销量盘点 | 2020年度最好卖轿车TOP 10榜单

    2020全年家用轿车销量TOP10 榜单已出炉 一起来盘点一下 这十辆卖的最好的轿车吧! 01 日产轩逸 ▼ 2020全年销量:540947辆 厂商指导价9.98-14.30万元 14代轩逸上市时,便 ...

  • 2015年最值得购买的便携相机TOP 10 | 榜单

    元旦假期快到辣,出行怎么能没有相机呢?小编这次贴心的给小伙伴们整理了10款方便携带的相机,拿走不用谢. 排行榜参考因素 便携性:便携相机最重要的就是携带方便了,因此对体积有比较高的要求,能满足小体积的 ...

  • 2015 最值得买的千元机 TOP 10 | 榜单

    其实早就想做2015年千元机的榜单了,但无奈各家厂商都扎堆在11月开新机发布会,雷小编只能等等等,终于,最新的2015 最值得买的千元机 TOP 10来辣. 排行榜参考因素 1 外观 由于外观是一个非 ...

  • 2015 智能电视 TOP 10 | 榜单

    这几年,"智能化"的步伐正高歌猛进,不断在各个领域入侵.渗透,就连电视也早已走上了智能化的道路.智能电视经过这几年的发展,无论是在操控体验还是在内容上,也都有了显著地提升.然而其中 ...

  • 10月定寿榜单重磅发布,最值得买的是?

    2020 年 10 月榜单 "你为什么买寿险?" 答案很简单,因为想给自己的爱人.亲人一份依靠,一点安慰. 定寿是家庭责任的延续,希望我们每个人都备一份. 每个月初,深蓝保实验室都 ...

  • 10月意外险榜单重磅发布,最值得买的是?

    2020 年 10 月榜单 在 9 月,谭松韵妈妈被撞事件终于等到了最后的结果,肇事者被判处 6 年有期徒刑. 这一场意外,夺走了女儿深爱的妈妈,才会有谭松韵那一句 "这一年八个月,每一天都 ...

  • 10月医疗险榜单重磅发布,最值得买的是?

    2020 年 10 月榜单 如果说有什么保险能解决看病难.看病贵的问题,那一定是医疗险了. 医疗险只需几百块的保费,就能最高报销数百万的医疗费,因此受到很多人的关注. 为了帮大家挑到适合的医疗险,每个 ...

  • 10月儿童重疾险榜单重磅发布,最值得买的是?

    2020 年 10 月榜单 父母的爱,是一场不求回报的修行,他们拼了命也要给孩子最好的. 所以无论在生活还是学习上,父母都对孩子倾尽所有.买保险,也要精挑细选,考虑再考虑. 因为过于慎重,很多父母选产 ...

  • 2021美国500强榜单发布:3家药企进前十,上升、下降最快企业是…

    近日,<财富>杂志公布了2021美国500强榜单. 今年上榜的企业,共创造了13.8万亿美元的收入,约占美国经济的三分之二:较去年减少3.15%. 在今年的榜单上,沃尔玛连续第九年蝉联榜首 ...