圈小蛙开放网络应用安全项目(OWASP)发布了2021年十大网络应用安全风险名单草案,与2017年的名单(上次更新的名单)相比有一些变化。该名单自2003年发布以来一直由OWASP维护,每隔几年更新一次。
在2021年9月8日的公告中,OWASP表示,2021年十大网络应用程序安全威胁草案已经公布,供“同行审查、评论、翻译和改进建议”。该报告草案可在网上查看,其中包含了对非营利组织如何对当今网络应用威胁进行分类的重要变化。
OWASP十大Web应用程序风险——2021年的变化
在更新中,OWASP小组添加了三个新类别:“不安全设计”、“软件和数据完整性故障”以及“服务器端请求伪造(SSRF)”攻击组别。
2017年的“XML外部实体(XXE)”部分已添加到2021年的安全错误配置类别,“跨站点脚本(XSS)”已添加到“注入”部分,“不安全的反序列化”现在是“软件和数据完整性故障“的一部分。
OWASP还重命名了几个类别。
2021年OWASP前10名的完整列表
1.A01:2021-破坏访问控制:34个CWE。访问控制漏洞包括权限提升、恶意URL修改、访问控制绕过、CORS错误配置和篡改主键。
2.A02:2021-加密失败:29个CWE。这包括数据在传输或静止时的安全故障,例如弱加密算法的实施、较差或宽松的密钥生成、未能实施加密或验证证书以及以明文传输数据。
3.A03:2021-注入:33个CWE。常见的注入会影响SQL、NoSQL、OS命令和LDAP,并且可能由清理失败、XSS漏洞和缺乏对文件路径的保护引起。
4.A04:2021-不安全设计:40个CWE。不安全的设计元素千差万别,但OWASP通常将其描述为“缺少或无效的控制设计”。令人担忧的领域包括缺乏对存储数据的保护、逻辑编程问题以及显示泄露敏感信息的内容。
5.A05:2021-安全配置错误:20个CWE。如果应用程序缺乏安全加固,如果存在不必要的功能(例如在权限方面过于开放),如果默认帐户保持活动状态,并且安全功能未正确配置,则应用程序可能会被视为易受攻击的。
6.A06:2021-易受攻击和过时的组件:三个CWE。此类别侧重于客户端和服务器端组件、组件维护失败、过时的支持系统(例如操作系统、Web服务器或库)以及组件配置错误。
7.A07:2021-识别和认证失败:22个CWE。安全问题包括不正确的身份验证、会话固定、证书不匹配、允许使用弱凭据以及缺乏针对暴力攻击的保护。
8.A08:2021-软件和数据完整性故障:10个CWE。完整性是该类别的焦点,任何未能正确执行此操作的失败(例如对不受信任的数据进行反序列化,或从远程源提取时未检查代码和更新)都可能在范围内。
9.A09:2021-安全日志记录和监控缺失:四个CWE。可能妨碍对数据泄露或其他形式的攻击进行分析的问题,包括日志问题、未能记录与安全相关的信息源或仅在本地记录数据,都属于此类别。
10.A10:2021-服务器端请求伪造:一个CWE。当服务器在获取远程资源时未验证用户提交的URL时,就会出现SSRF漏洞。OWASP表示,云服务的采用和日益复杂的架构增加了SSRF攻击的严重性。