最新OWASP-TOP10-2021中文版V1.0发布!

admin 2022年1月13日16:11:36安全文章 安全开发评论14 views3096字阅读10分19秒阅读模式

最新OWASP-TOP10-2021中文版V1.0发布!

如何获取最新中文版合集?

关注微信公众号“Gaobai文库”,后台回复sec即可获取阅读!

最新OWASP-TOP10-2021中文版V1.0发布!

0x00 最新OWASP10有哪些变化?

  • 官方:2021年版Top10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些整合。考虑到应关注根本原因而非症状,我们更改了一些类别的名称(*来源于社区调查结果)。

0x01 变化数据变化对比一览图

最新OWASP-TOP10-2021中文版V1.0发布!

A01:2021-失效的访问控制

最新OWASP-TOP10-2021中文版V1.0发布!
  • 从第五位上升到第一位,94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试,该事件的平均发生率为 3.81%,该漏洞在提供的数据集中出现漏洞的应用数量最多,总发生漏洞应用数量超过31.8万多次。此类值得注意的常见CWE包括:CWE-200: Exposure of Sensitive Information to an UnauthorizedActor(将敏感信息泄漏给未经授权的参与者)、CWE-201: Exposure of Sensitive Information ThroughSent Data(通过发送的数据泄漏敏感信息)、CWE-352: Cross-Site Request Forgery (跨站请求伪造)。

A02:2021-加密机制失效

最新OWASP-TOP10-2021中文版V1.0发布!
  • 上升一位到第二名,以前称为“敏感数据泄漏”。“敏感数据泄漏”更像是一种常见的表象问题而不是根本原因,这项风险重点是与加密机制相关的故障(或缺乏加密机制)。这往往会导致敏感数据泄漏。值得注意的常见CWE包括:CWE-259: Use of Hard-coded Password (使用硬编码密码)、CWE-327: Broken orRisky Crypto Algorithm(损坏或有风险的加密算法)、CWE-331 Insufficient Entropy (熵不足)。

A03:2021-注入

最新OWASP-TOP10-2021中文版V1.0发布!
  • 注入降至第三。94%的统计应用针对某种形式的注入进行了测试,最大发生率为19%,平均发生率为3%,共计发生了27.4万次。值得注意的常见弱点枚举(CWE)包括CWE-79:Cross-siteScripting(跨站点脚本)、CWE-89:SQL Injection(SQL注入)和CWE-73:External Control ofFile Name or Path(文件名或路径的外部控制)。

A04:2021-不安全设计

最新OWASP-TOP10-2021中文版V1.0发布!
  • 2021年版的一个新类别,侧重于与设计和体系结构缺陷相关的风险,呼吁更多地使用威胁建模、安全设计模式和参考体系结构。作为一个应用安全技术社区,我们需要超越软件开发过程编码空间中的“左移”,转向对设计安全原则至关重要的预编码活动。值得注意的常见弱点枚举(CWE)包括CWE209:Generation of Error Message Containing Sensitive Information(生成包含敏感信息的错误消息)、CWE-256:Unprotected Storage of Credentials(凭证的未保护储)、CWE-501:TrustBoundary Violation(信任边界冲突)和CWE-522:Insufficiently Protected Credentials(凭证保护不足)。

A05:2021-安全配置错误

最新OWASP-TOP10-2021中文版V1.0发布!
  • 从上一版本的第六名提升,90%的调查应用都进行了某种形式的配置错误测试,平均发生率为4%,并且在此风险类别的CWE出现了超过20.8万次。随着当今软件正转向高度可配置,看到这一类别上升也就不足为奇了。需要注意的是 CWE包括:CWE-16 Configuration(配置)和 CWE-611Improper Restriction of XML External Entity Reference(XML 外部实体引用的不当限制)。

A06:2021-自带缺陷和过时的组件

最新OWASP-TOP10-2021中文版V1.0发布!
  • 它在Top 10社区调查中排名第二,也有足够的数据让它进入前十。不安全的组件是我们努力测试和评估风险的已知问题,并且它是在CWE中唯一没有任何 CVE 对应的类别,因此,使用默认的利用/影响加权值为5.0。值得注意的是CWE包括:CWE-1104 Use of Unmaintained Third-PartyComponents(使用未维护第三方组件),以及2013年和2017年Top 10中关于此问题的两个CWE。

A07:2021-身份识别和身份验证错误

最新OWASP-TOP10-2021中文版V1.0发布!
  • 之前被称之为“无效的身份认证”,此类别从第二名下滑,现在包含了与身份识别失效相关的CWE,如知名的“CWE-297: Improper Validation of Certificate with Host Mismatch(与不匹配的服务端进行不适当的凭证确认)”, “CWE-287: Improper Authentication(不适当的认证)”,“CWE-384: Session Fixation(会话固定攻击)”。

A08:2021-软件和数据完整性故障

最新OWASP-TOP10-2021中文版V1.0发布!
  • 2021年版本的一个新类别,聚焦于在未验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。这是来自漏洞披露/通用漏洞评估系统 (CVE/CVSS) 数据的最高权重影响之一。值得注意的是,CWE包括:CWE-829:Inclusion of Functionality from Untrusted ControlSphere(包含来自不受信任控制领域的功能),CWE-494:Download of Code WithoutIntegrity Check(不进行完整性检查的代码下载)和CWE-502:Deserialization of UntrustedData(不可信数据的反序列化)。

A09:2021-安全日志和监控故障

最新OWASP-TOP10-2021中文版V1.0发布!
  • 安全日志和监控故障来自于Top 10的社区调查(排名第3位),比2017年OWASP Top 10社区调查时的第10位略有上升。日志记录和监控是一项具有挑战性的测试,通常涉及访谈或询问渗透测试期间是否检测到攻击。这个类别的CVE/CVSS数据不多,但检测和应对违规行为是至关重要的。同时,它对问责制、可见性、事件告警和取证仍有很大的影响。这个类别除了CWE-778 InsufficientLogging(日志记录不足)外,还包括CWE-117 Improper Output Neutralization for Logs(日志输出不当),CWE-223 Omission of Security-relevant Information(安全事件信息漏报),以及CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息)。

A10:2021-服务端请求伪造

最新OWASP-TOP10-2021中文版V1.0发布!
  • 这个类别是从Top 10社区调查(排名第1位)中新添加的。数据显示,该类别安全事件发生率相对较低,测试覆盖率高于平均水平,平均漏洞利用脚本数和影响潜力等级高于平均水平。因为新类别可能是单一或小型集群的CWE,为了引起关注和认识,希望这个类别能受到关注并且在未来的版本可以推出一个更大的类别。

TOP10防范措施及其风险案例

最新OWASP-TOP10-2021中文版V1.0发布!关注微信公众号“Gaobai文库”,后台回复sec即可获取阅读!

关注及时推送最新安全威胁资讯!

最新OWASP-TOP10-2021中文版V1.0发布!

「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,EXP 与 POC 仅仅只供对已授权的目标使用测试,对未授权目标的测试本文库不承担责任,均由本人自行承担。本文库中的漏洞均为公开的漏洞收集,若文库中的漏洞出现敏感内容产生了部分影响,请及时联系作者删除漏洞,望师傅们谅解」


原文始发于微信公众号(Gaobai文库):最新OWASP-TOP10-2021中文版V1.0发布!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月13日16:11:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  最新OWASP-TOP10-2021中文版V1.0发布! https://cn-sec.com/archives/735066.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: