首页 > 编程语言 >OWASP TOP 10

OWASP TOP 10

时间:2024-04-18 09:44:24浏览次数:30  
标签:10 TOP OWASP 2021 类别 Failures 2017 top

OWASP TOP 10

2021年版Top 10有哪些变化?

2021年版Top 10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些
整合。

2017年 TOP 10

  • top 01:注入(2017-Injection)
  • top 02:失效的身份认证(2017-Broken Authentication)
  • top 03:敏感信息泄漏(2017-Sensitive Data Exposure)
  • top 04:XML外部实体(2017-XML External Entities,简称XXE)
  • top 05:越权访问(2017-Broken Access Control)
  • top 06:安全配置错误(2017-Security Misconfiguration)
  • top 07:跨站脚本(2017-Cross-Site Scripting,简称XSS)
  • top 08:不安全的反序列化(2017-Insecure Deserialization)
  • top 09:使用含有已知漏洞的组件(2017-Using Components with Known Vulnerabilities)
  • top 10:不足的日志记录和监控(2017-Insufficient Logging&Monitoring)

2021年 TOP 10

  • top 01:越权访问(2021-Broken Access Control)

  • top 02:加密失败(2021-Cryptographic Failures)

  • top 03:注入(2021-Injection)

  • top 04:不安全的设计(2021-Insecure Design)

  • top 05:安全配置错误(2021-Security Misconfiguration)

  • top 06:易受攻击和过时的组件(2021-Vulnerable and Outdated Components)

  • top 07:身份验证与认证失败(2021-Identification and Authentication Failures)

  • top 08:软件和数据完整性故障(2021-Software and Data Integrity Failures)

  • top 09:安全日志记录和监控故障(2021-Security Logging and Monitoring Failures)

  • top 10:服务端请求伪造(2021-Server-Side Request Forgery)

2021版变化说明

TOP 10 变化
A01:2021-失效的访问控制 Broken Access Control 从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹配为“失效的访问控制”的CWE次数比任何其他类别都多。
A02:2021-加密机制失效 Cryptographic Failures 排名上升一位。其以前被称为“A3:2017-敏感信息泄漏(Sensitive Data Exposure)”。敏感信息泄漏是常见的症状,而非根本原因。更新后的名称侧重于与密码学相关的风险,即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻破。
A03:2021-注入 Injection 排名下滑两位。94%的应用程序进行了某种形式的注入风险测试,发生安全事件的最大率为19%,平均率为3.37%,匹配到此类别的33个CWE共发生27.4万次,是出现第二多的风险类别。原“A07:2017-跨站脚本(XSS)”在2021年版中被纳入此风险类别。
A04:2021-不安全设计 Insecure Design 2021年版的一个新类别,其重点关注与设计缺陷相关的风险。如果我们真的想让整个行业“安全左移” ,我们需要更多的威胁建模、安全设计模式和原则,以及参考架构。不安全设计是无法通过完美的编码来修复的;因为根据定义,所需的安全控制从来没有被创建出来以抵御特定的安全攻击。
A05:2021-安全配置错误 Security Misconfiguration 排名上升一位。90%的应用程序都进行了某种形式的配置错误测试,平均发生率为4.5%,超过20.8万次的CWE匹配到此风险类别。随着可高度配置的软件越来越多 , 这一类别 的风险也开始 上 升 。 原“A04:2017-XML External Entities(XXE) XML外部实体”在2021年版中被纳入此风险类别。
A06:2021-自带缺陷和过时的组件 Vulnerable and Outdated Components 排名上升三位。在社区调查中排名第2。同时,通过数据分析也有足够的数据进入前10名,是我们难以测试和评估风险的已知问题。它是唯一一个没有发生CVE漏洞的风险类别。因此,默认此类别的利用和影响权重值为5.0。原类别命名为“A09:2017-Using Componentswith Known Vulnerabilities 使用含有已知漏洞的组件”。
A07:2021-身份识别和身份验证错误 Identification and Authentication Failures 排名下滑五位。原标题“A02:2017-Broken Authentication失效的身份认证”。现在包括了更多与识别错误相关的CWE。这个类别仍然是Top 10的组成部分,但随着标准化框架使用的增加,此类风险有减少的趋势。
A08:2021-软件和数据完整性故障 Software and Data Integrity Failures 2021年版的一个新类别,其重点是:在没有验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹配的CWE类别,并且拥有最高的平均加权影响值。原“A08:2017-Insecure Deserialization不安全的反序列化”现在是本大类的一部分。
A09:2021-安全日志和监控故障 Security Logging and Monitoring Failures 排名上升一位。来源于社区调查(排名第3)。原名为“A10:2017-Insufficient Logging & Monitoring 不足的日志记录和监控”。此类别现扩大范围,包括了更多类型的、难以测试的故障。此类别在CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响可见性、事件告警和取证。
A10:2021-服务端请求伪造 Server-Side Request Forgery 2021年版的一个新类别,来源于社区调查(排名第1)。数据显示发生率相对较低,测试覆盖率高于平均水平,并且利用和影响潜力的评级高于平均水平。加入此类别风险是说明:即使目前通过数据没有体现,但是安全社区成员告诉我们,这也是一个很重要的风险。

标签:10,TOP,OWASP,2021,类别,Failures,2017,top
From: https://www.cnblogs.com/test-gang/p/18142790

相关文章

  • POI2010TEL-Teleportation
    分层图#贪心#POI#Year2010考虑将答案的图建成一个\(5\)层的图,其中\(1,2\)为第\(1,5\)层,第\(2,4\)层为已经与\(1,2\)相连的点考虑将剩下的点与第\(2,4\)层相连,贪心选尽可能大的//Author:xiaruizeconstintN=2e5+10;intn,m;vector<int>g[N];intcn......
  • POI2010MOT-Monotonicity2
    线段树#dp#线段树优化dp#POI#Year2010线段树维护\(dp\)转移即可//Author:xiaruizeconstintN=1e6+10;structsegment_tree{#definelsp<<1#definersp<<1|1 piimx[N<<2]; voidupdate(intp,intl,intr,intx,piiv) { if(l......
  • POI2010CHO-Hamsters
    POI#Year2010#kmp#字符串#dp#矩阵优化dp用\(kmp\)处理两个串拼在一起最小增加的代价,然后\(dp_{i,j}\)表示选择\(i\)个最后是\(j\)的最小长度转移枚举拼接的串这个明显可以矩阵优化//Author:xiaruizeconstintN=1e5+10;intn,m;strings[N];struc......
  • Games101:绕任意轴旋转
    Overview对于任意坐标\(S_1=(S_x,S_y,S_z)^T\),绕任意轴线\(\vec{n}=(n_x,n_y,n_z)^T\)旋转\(\alpha\)度,推导变换矩阵\(R(\vec{n},\alpha)\),使得变换后的坐标\(S_2=R(\vec{n},\alpha)\cdotS_1\)本文使用向量运算,推导该变换矩阵。注意:轴线经过坐标系原点基本公式以列向量表......
  • vscode remote-x11 ssh 连接时Another All configured authentication methods failed
    错误remote-x11-ssh插件使用ssh2扩展出现以下错误https://github.com/joelspadin/vscode-remote-x11/issues/75Error:Allconfiguredauthenticationmethodsfailed原因https://github.com/mscdex/ssh2/issues/989解决换成ed25519并修改配置......
  • [题解][洛谷P1108] 低价购买
    题目描述求最长下降子序列长度,以及最长下降子序列的个数。(构成的序列一样的时候,视为同一种最长下降子序列)题解n不超过5000,n^2复杂度即可解决该问题。主要在于如何统计最长下降子序列个数。可以设数组t[i]表示以i为结尾的最长下降子序列个数,在更新f[i]的时候顺便更新。t[i]=......
  • Docker - windows11安装docker desktop
    一、启动支持虚拟机等功能在电脑上打开“控制面板”->“程序”->“启动或关闭Windows功能”。启用以下功能(由于我的系统是Win11家庭版,所以不自带Hype-V功能,如支持则启动)二、进入Docker官网首先先到Docker官网下载最新官方DockerforWindows链接:Docker下载三、安装Doc......
  • P10342 [THUSC 2019] 数列 题解
    形式化题面:求\[\sum_{l=1}^{n}\sum_{r=l}^{n}\max_{i=l}^{r}(i-l+1)\timesf(i,r)\]其中\(f(l,r)\)为\(a_l,...,a_r\)中有多少个不同的数字。注意到,除了Sub2,其余数据点都有\(\maxf\le800\),这启发我们考虑\(O(nm)\)的算法。套路地,扫描线枚举右端点,则现在只需要考虑......
  • 1039 到底买不买
    只要有一个珠子缺少,那么就是缺少珠子,我们需要将缺少的珠子(mp[x]<0的)加起来。#include<bits/stdc++.h>usingnamespacestd;charcs[1100],cs2[1100];map<char,int>mp;intmain(){ cin>>cs>>cs2; for(inti=0;i<strlen(cs);i++){ mp[cs[i]]++; } intqs=0,dy=0,......
  • P10282
    思路首先想到一个\(n^{4}\)的dp,观察数据范围,发现这应该是一个\(n^{3}\)的算法,考虑如何优化。首先把转移方程写出来\(dp_{i,j}=\sum_{0\leii\lei-1,0\lejj\lej-1,\overline{a_{ii+1}...a{i}}\le\overline{b_{jj+1}...b{j}}}dp_{ii,jj}\),发现都不太好优化。首先枚举\(i\),\(......