-->

whaust

2021年9月10日 星期五

OWASP 2021 Quick View

OWASP 2021 引入了 3 個新類別 :  

A08:2021 - 不安全設計 (No.4 )

A08:2021 - 軟件和數據完整性失敗 ( No.8 )

A10:2021 - 服務器端請求偽造 (No.10)



A01:2021 - 損壞的訪問控制 (Broken Access Control)

OWASP 團隊將一個 Broken Access Control漏洞列為第 1 位,從 2017 年 OWASP TOP 10 榜單的第 5 位移至第 1 位。為了分配這個位置,OWASP 團隊已經測試了 94% 的應用程序,並使用了一些軟身份驗證,並在其中映射了 34 個 CWE。

A02:2021-加密失敗 (Cryptographic Failures)

Cryptographic Failures 已被分配到第 2 位,它已從 2017 年列表中的第 3 位移至 “敏感數據暴露” Sensitive Data Exposure,並已根據攻擊的樣貌進行分配。由於當前更新的列表側重於根因,因此密碼學加密失敗是洩露敏感數據的主要問題。

A03:2021 - 注入攻擊 (Injection)

注入攻擊從 2017 年列表中的第 1 位下降到 OWASP TOP 10 2021 中的第 3 位。在此註入攻擊類別下,映射了 33 個 CWE,包括在上一個列表中排名第 7 的跨站點腳本 (XSS) 漏洞。

A04:2021 - 不安全的設計 (Insecure Design)

不安全設計是 OWASP TOP 10 2021 列表中添加的一個新類別,並列在第 4 位。不安全的設計漏洞側重於與設計缺陷相關的風險。

A05:2021 - 安全配置錯誤 (Security Misconfiguration)

安全配置從第 6 位移至第 5 位,該漏洞已在 90% 的應用程序上進行了測試。OWASP 團隊從 2017 年列表中分隔了 XML 外部實體,並將它們與此安全配置錯誤合併。

A06:2021 - 易受攻擊和過時的組件 (Vulnerable and Outdated Components)

這是“使用具有已知漏洞的組件” 的替代標題,已在 2017 年列表中排名第 9 位。現在它向上移動到 第6 位。這是唯一沒有將任何 CVE 映射到包含的 CWE 的類別,而是考慮了 5.0 的預設漏洞利用和影響權重來反映此位置。

A07:2021 - 識別和認證失敗 (Identification and Authentication Failures)

它以前被稱為“損壞的身份驗證” Broken Authentication,它列在第2位並移到第7位。這個類別仍然是前 10 名的一個組成部分,但標準化框架的可用性增加似乎有所幫助。

A08:2021 - 軟體和數據完整性故障 (Software and Data Integrity Failures)

軟體和數據完整性故障是 OWASP Top 10 2021 列表中的一個新列表,該漏洞主要針對軟件更新、關鍵數據和 CI/CD 管道,而無需驗證完整性。合併自2017 年不安全的反序列化( Insecure Deserialization)。

A09:2021 -安全日誌記錄和監控失敗 (Security Logging and Monitoring Failures)

它以前被稱為監控和監控不足,它被列在第 10 位並上升到第 9 位。未能修復此漏洞將影響可見性、事件警報和取證。

A10:2021 - 服務器端請求偽造 (Server-Side Request Forgery)

業界調查顯示SSRF 名列第 10 位。數據顯示發生率相對較低,測試覆蓋率高於平均水平,並且利用和影響潛力的評級高於平均水平。
Cheers !


沒有留言:

張貼留言

Popular