近日,OWASP从贡献者提供的数据中选择了8个类别,从高水平的行业调查中选择了2个类别,完成了最新的OWASP Top 10 2021 榜单。OWASP表示,
“我们这么做的根本原因是,分析贡献者提供的数据就是回顾过去。AppSec研究人员花时间寻找新的漏洞和测试它们的新方法。将这些测试集成到工具与流程中需要时间。当我们能够可靠地大规模测试某个缺陷的时候,很可能已经过去了很多年。为了平衡这种观点,我们采用行业调查的方式来询问一线人员,了解他们认为数据可能尚未表现出来的基本缺陷。”
总体来说,2021年新鲜出炉的OWASP Top 10榜单出现了三个新的类别,还有四个类别的名称和范围发生了变化,甚至还对一些类别进行了合并。
2021 OWASP Top 10榜单及变化
A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。映射到访问控制失效的34个CWE在应用程序中的出现频率比其他任何类别都要多。
A02:2021年,加密失败(Cryptographic Failure)——此前名为“敏感数据暴露”(Sensitive Data Exposure),这一名称只是描述了广泛的症状而非根本原因——上移到了榜单第二位。此处需要重新关注与密码学相关的故障,这些故障通常会导致敏感数据暴露或系统受损。
A03:2021年,注入(Injection)下滑到第三位。94%的应用程序都测试了某种形式的注入,注入类别中如今包括跨站脚本。映射到该类别的33个CWE在应用程序中出现次数第二多。
A04:不安全设计(Insecure Design)是2021年出现的新类别,并且一出场就高居第四位。此处需要重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“左移”,就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
A05:2021年,安全配置错误(Security Misconfiguration)从上一版的第6位上升到了第5位。90%的应用程序都经过了某种形式的错误配置测试,随着转向高度可配置软件的趋势不可逆,看到这一类别排名上升也就不足为奇了。此前版本的XML外部实体注入(XXE)类别现在也被合并为该类别的一部分。
A06:2021年,脆弱过时组件(Vulnerable and Outdated Component)——此前名为“使用具有已知漏洞的组件”(Using Components with Known Vulnerabilities)——也从第6位一跃进入第6位。该类别是唯一一个没有任何CVE映射到所含CWE的类别,因此默认的漏洞与影响权重计5.0分。
A07:2021年,识别与认证失败(Identification and Authentication Failure)——此前称为“身份验证失效”(Broken Authentication)——排名从此前的第2位降到了第7位,而且该类别目前包含更多与识别失败相关的CWE。虽然该类别仍然位列Top 10榜单,但标准化框架的可用性增加似乎有助于解决这一问题。
A08:软件和数据完整性故障(Software and Data Integrity Failure)是2021年新增的一个类别,主要关注缺乏完整性验证情况下做出与软件更新、关键数据和持续集成/持续交付(CI/CD)流水线相关的各种假设。CVE/CVSS数据最高加权影响之一映射到该类别中的10个CWE。此前版本中的“不安全反序列化”(Insecure Deserialization)类别如今也被归入这一更大类别。
A09:2021年,安全日志与监测失败(Security Logging and Monitoring Failure)——此前名为“日志记录和监控不足”(Insufficient Logging & Monitoring)——从最后一名上升至第9位。而且该类别已扩展纳入了其他类型的故障,虽然这些故障难以测试,并且在CVE/CVSS 数据中没有得到很好的体现,但却会直接影响可见性、事件警报和取证。
A10:排在最后一位的服务器端请求伪造(Server-Side Request Forgery)是2021年新增的类别。虽然数据显示其发生率相对较低,但测试覆盖率却高于平均水平,并且漏洞利用和影响潜力的评级也高于平均水平。该类别是行业安全专家为我们预警的一种重要场景,尽管目前并没有数据能够证实其危险性。
