OWASP发布2021年十大Web应用安全风险榜单

近日，OWASP发布了2021年Top 10十大Web应用安全风险榜单的草案，增加了三个新的类别，同时部分安全风险的排名发生变化。

OWASP Top 10是每个Web应用程序的最低或基本安全测试要求，于2003年首次推出，经过多次修订，近日发布了2021年的报告草案。相比上一个正式版本，新增了三个风险，大多数风险名称和排名发生较大变化：

如上图所示，“访问控制失陷”取代“注入”升至排名第一，而“不安全设计”、“软件与数据完整性故障”和“安全日志与监控失效”首次进入TOP10榜单。

以下是2021年OWASP Top 10 十大Web应用安全威胁：

01

2021–失陷的访问控制

从2017年的第五位上升到顶部，访问控制也被称为授权，它定义了Web应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。

02

2021–加密失败

从第三位上升到第二位，以前称为敏感数据暴露。缺乏加密通常会导致敏感数据暴露或系统受损。

03

2021–注入

从第一位下降到第三位，它是一种攻击者利用未经验证的输入漏洞并通过在后端数据库中运行Web应用程序注入SQL命令的技术。

04

2021–不安全的设计

这是OWASP Top 2021的一个新类别，它关注与设计和架构缺陷相关的风险。

“不安全设计是一个广泛的类别，代表许多不同的弱点，表现为缺失或无效的控制设计”。

05

2021–安全配置错误

从第六位上升到第五位，它侧重于跨应用程序堆栈的安全加固或对云服务的权限配置不当。

06

2021–易受攻击和过时的组件

该风险从第二位大幅下滑至第六位，因为没有足够的攻击数据可用，此类别重点关注客户端和服务器端使用的所有组件的易受攻击版本。

07

2021–识别和认证失败

以前被称为失陷的身份验证，此类别侧重于身份验证失败。

它会导致自动攻击，例如攻击者使用用户名和密码列表的凭据填充。

08

2021–软件和数据完整性故障

这是OWASP Top 10 2021中引入的一个新类别，它侧重于与无法防止完整性违规的代码和基础设施相关的软件和数据完整性故障。

09

2021–安全日志记录和监控失败

从第十位上升至第九位，此类别有助于检测、升级和响应主动攻击。

10

2021–服务器端请求伪造(SSRF)

此类别侧重于保护Web应用程序在不验证用户提供的URL的情况下获取远程资源的连接。

参考资料

https://owasp.org/www-project-top-ten/