最新OWASP-TOP10-2021中文版V1.0发布！

如何获取最新中文版合集？

关注微信公众号“Gaobai文库”，后台回复sec即可获取阅读！

0x00 最新OWASP10有哪些变化？

• 官方：2021年版Top10产生了三个新类别，原有四个类别的命名和范围也发生了变化，且进行了一些整合。考虑到应关注根本原因而非症状，我们更改了一些类别的名称（*来源于社区调查结果）。

0x01 变化数据变化对比一览图

A01：2021-失效的访问控制

• 从第五位上升到第一位，94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试，该事件的平均发生率为 3.81%，该漏洞在提供的数据集中出现漏洞的应用数量最多，总发生漏洞应用数量超过31.8万多次。此类值得注意的常见CWE包括：CWE-200: Exposure of Sensitive Information to an UnauthorizedActor（将敏感信息泄漏给未经授权的参与者）、CWE-201: Exposure of Sensitive Information ThroughSent Data（通过发送的数据泄漏敏感信息）、CWE-352: Cross-Site Request Forgery （跨站请求伪造）。

A02：2021-加密机制失效

• 上升一位到第二名，以前称为“敏感数据泄漏”。“敏感数据泄漏”更像是一种常见的表象问题而不是根本原因，这项风险重点是与加密机制相关的故障（或缺乏加密机制）。这往往会导致敏感数据泄漏。值得注意的常见CWE包括：CWE-259: Use of Hard-coded Password （使用硬编码密码）、CWE-327: Broken orRisky Crypto Algorithm（损坏或有风险的加密算法）、CWE-331 Insufficient Entropy （熵不足）。

A03：2021-注入

• 注入降至第三。94%的统计应用针对某种形式的注入进行了测试，最大发生率为19%，平均发生率为3%，共计发生了27.4万次。值得注意的常见弱点枚举（CWE）包括CWE-79：Cross-siteScripting（跨站点脚本）、CWE-89：SQL Injection（SQL注入）和CWE-73：External Control ofFile Name or Path（文件名或路径的外部控制）。

A04：2021-不安全设计

• 2021年版的一个新类别，侧重于与设计和体系结构缺陷相关的风险，呼吁更多地使用威胁建模、安全设计模式和参考体系结构。作为一个应用安全技术社区，我们需要超越软件开发过程编码空间中的“左移”，转向对设计安全原则至关重要的预编码活动。值得注意的常见弱点枚举（CWE）包括CWE209：Generation of Error Message Containing Sensitive Information（生成包含敏感信息的错误消息）、CWE-256：Unprotected Storage of Credentials（凭证的未保护储）、CWE-501：TrustBoundary Violation（信任边界冲突）和CWE-522：Insufficiently Protected Credentials（凭证保护不足）。

A05：2021-安全配置错误

• 从上一版本的第六名提升，90%的调查应用都进行了某种形式的配置错误测试，平均发生率为4%，并且在此风险类别的CWE出现了超过20.8万次。随着当今软件正转向高度可配置，看到这一类别上升也就不足为奇了。需要注意的是 CWE包括：CWE-16 Configuration（配置）和 CWE-611Improper Restriction of XML External Entity Reference（XML 外部实体引用的不当限制）。

A06：2021-自带缺陷和过时的组件

• 它在Top 10社区调查中排名第二，也有足够的数据让它进入前十。不安全的组件是我们努力测试和评估风险的已知问题，并且它是在CWE中唯一没有任何 CVE 对应的类别，因此，使用默认的利用/影响加权值为5.0。值得注意的是CWE包括：CWE-1104 Use of Unmaintained Third-PartyComponents（使用未维护第三方组件），以及2013年和2017年Top 10中关于此问题的两个CWE。

A07：2021-身份识别和身份验证错误

• 之前被称之为“无效的身份认证”，此类别从第二名下滑，现在包含了与身份识别失效相关的CWE，如知名的“CWE-297: Improper Validation of Certificate with Host Mismatch（与不匹配的服务端进行不适当的凭证确认）”, “CWE-287: Improper Authentication（不适当的认证）”,“CWE-384: Session Fixation（会话固定攻击）”。

A08：2021-软件和数据完整性故障

• 2021年版本的一个新类别，聚焦于在未验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。这是来自漏洞披露/通用漏洞评估系统 (CVE/CVSS) 数据的最高权重影响之一。值得注意的是，CWE包括：CWE-829：Inclusion of Functionality from Untrusted ControlSphere（包含来自不受信任控制领域的功能），CWE-494：Download of Code WithoutIntegrity Check（不进行完整性检查的代码下载）和CWE-502：Deserialization of UntrustedData（不可信数据的反序列化）。

A09：2021-安全日志和监控故障

• 安全日志和监控故障来自于Top 10的社区调查（排名第3位），比2017年OWASP Top 10社区调查时的第10位略有上升。日志记录和监控是一项具有挑战性的测试，通常涉及访谈或询问渗透测试期间是否检测到攻击。这个类别的CVE/CVSS数据不多，但检测和应对违规行为是至关重要的。同时，它对问责制、可见性、事件告警和取证仍有很大的影响。这个类别除了CWE-778 InsufficientLogging（日志记录不足）外，还包括CWE-117 Improper Output Neutralization for Logs（日志输出不当），CWE-223 Omission of Security-relevant Information（安全事件信息漏报），以及CWE-532 Insertion of Sensitive Information into Log File（在日志文件中包含敏感信息）。

A10：2021-服务端请求伪造

• 这个类别是从Top 10社区调查（排名第1位）中新添加的。数据显示，该类别安全事件发生率相对较低，测试覆盖率高于平均水平，平均漏洞利用脚本数和影响潜力等级高于平均水平。因为新类别可能是单一或小型集群的CWE，为了引起关注和认识，希望这个类别能受到关注并且在未来的版本可以推出一个更大的类别。

TOP10防范措施及其风险案例

关注微信公众号“Gaobai文库”，后台回复sec即可获取阅读！