《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > OWASP Top 10 2021初稿發(fā)布

OWASP Top 10 2021初稿發(fā)布

2021-09-18
來源:嘶吼專業(yè)版
關(guān)鍵詞: 安全漏洞 OWASP

  OWASP發(fā)布2021版本的Top 10安全漏洞,。

  非營利性組織Open Web Application Security Project (OWASP)發(fā)布2021版的Top 10安全漏洞初稿,,這是自2017年11月發(fā)布OWASP Top 10 2017后的第一個修改。

  OWASP Top 10 2017和新OWASP Top 10 2021的映射關(guān)系

  A01:2021-Broken Access Control失效的訪問控制

  這一項(xiàng)排名躍升到第5位,,測試發(fā)現(xiàn)有94%的應(yīng)用存在失效的訪問控制。失效的訪問控制漏洞中有34個擁有CVE編號,比其他漏洞出現(xiàn)的概率要高,。

  A02:2021-Cryptographic Failures加密失效

  加密失效排名上身到第二位,2017年版本中的名字為敏感數(shù)據(jù)泄露,。新命名的關(guān)注點(diǎn)是與加密相關(guān)的失效引發(fā)的敏感數(shù)據(jù)泄露或系統(tǒng)破壞,。

  A03:2021-Injection注入

  注入的排名下降到第3位。測試發(fā)現(xiàn)有94%的應(yīng)用存在注入漏洞,,注入漏洞中有33個擁有CVE編號,,該漏洞在應(yīng)用中出現(xiàn)的概率排名第二,跨站腳本攻擊也被歸類到注入漏洞,。

  A04:2021-Insecure Design不安全的設(shè)計

  不安全的設(shè)計是2021年版本的新種類,,主要關(guān)于與設(shè)計漏洞相關(guān)的風(fēng)險。

  A05:2021-Security Misconfiguration安全錯誤配置

  安全錯誤配置排名從2017年的第6提升到第5,。測試發(fā)現(xiàn)有90%的應(yīng)用存在不同形式的錯誤配置,。隨著軟件變得越來越高度可配置化,,毫無疑問這類安全漏洞會越來越多。之前版本的XML外部實(shí)體(XXE)漏洞也屬于本種類,。

  A06:2021-Vulnerable and Outdated Components有漏洞和過期的組件

  有漏洞和過期的組件之前叫做使用有漏洞的組件,。2017年版本的排名為第9,今年上升到第6,。這也是唯一一類沒有對應(yīng)CVE編號漏洞的種類,,所以默認(rèn)漏洞利用和影響權(quán)重為5.0。

  A07:2021-Identification and Authentication Failures 身份和認(rèn)證失效

  識別和認(rèn)證失效在2017年版本中叫做認(rèn)證失效,,從排名第2位下降到第7位,。相關(guān)的CVE漏洞主要與身份失效有關(guān)。

  A08:2021-Software and Data Integrity Failures 軟件和數(shù)據(jù)完整性失效

  軟件和數(shù)據(jù)完整性失效是2021年版本中的新種類,,主要關(guān)注軟件更新,、關(guān)鍵數(shù)據(jù)、沒有驗(yàn)證完整性的CI/CD管道相關(guān)的安全問題,。2017年版本中不安全的反序列化也屬于該大類,。

  A09:2021-Security Logging and Monitoring Failures 安全日志和監(jiān)控失效

  安全日志和監(jiān)控失效在2017年版本中叫做不充足的日志和監(jiān)控,排名也從第10上升到了第9,。這類漏洞在2017年版本上擴(kuò)展了許多類型的漏洞,。這類漏洞會直接影響可見性、應(yīng)急預(yù)警和取證等,。

  A10:2021-Server-Side Request Forgery 服務(wù)端請求偽造

  服務(wù)器請求偽造在測試過程中出現(xiàn)的概率很低,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。