在最新的排名中,BrokenAccessControl从第五位上升到第一位。非营利基金会开放Web应用程序安全项目(OWASP)发布了其2021年十大漏洞排名(初版)的更新,这是自2017年11月以来的首次变化。新列表突出了显着的变化,包括访问控制故障的急剧上升——从第五名到第一名。该组织声称94%的应用程序执行某种形式的访问控制故障测试,并且“映射到访问控制故障的34个CWE在应用程序中出现的频率高于任何其他类别。”系统损坏、加密失败(CryptographicFailure)也升至榜单第二位。注入跌回第三位,但OWASP指出,94%的应用程序测试了某种形式的注入,注入类别现在包括跨站点脚本。作为2021年的新品类,不安全设计(InsecureDesign)一登场就位列第四。安全配置错误紧随其后,比2017年的榜单上升了一位。安全错误配置类别现在包括外部实体,列表的作者认为这并不奇怪,因为90%的应用程序都针对某种形式的错误配置进行了测试,而且不可逆转的趋势是向高度可配置的软件发展。易受攻击和过时的组件(VulnerableandOutdatedComponent)在2017年的榜单中排名第九,但今年的排名跃升三位至第六位。“此类别是唯一没有任何CVE映射到包含的CWE的类别,因此默认的漏洞和影响权重为5.0,”该列表的编译器指出。IdentificationandAuthenticationFailure之前被称为AuthenticationInvalidation(BrokenAuthentication),今年的排名从第二位下降到第七位。OWASP解释说,这是由于有助于解决此问题的标准化框架的可用性有所提高。软件和数据完整性故障(SoftwareandDataIntegrityFailure)是2021年新增的一个类别,重点关注缺乏完整性验证和软件更新、关键数据以及持续集成/持续交付(CI/CD)管道相关的假设。“CVE/CVSS数据的最高加权影响之一映射到该类别中的10个CWE。2017年的不安全反序列化现在属于这个更大的类别,”OWASP说。之前排名最后的安全日志记录和监控故障今年上升了一位,并扩大到包括其他类型的故障。虽然这些故障不容易测试,但它们“直接影响可见性、事件警报和取证”。排在最后的是服务器端请求伪造,它的发生率“相对较低”,但行业专家通常指的是这种类型。OWASP说,总体而言,今年增加了三种新类型,其中四种改变了名称或范围。十多年来,OWASP根据贡献者提供的数据和行业调查结果,不断推出Top10榜单。“我们这样做的根本原因是分析贡献者的数据是在回顾过去。应用程序安全研究人员花时间寻找新的漏洞和测试漏洞的新方法。将这些测试集成到工具和流程中需要时间。”“当我们能够可靠地大规模测试漏洞时,可能还需要数年时间。为了平衡我们的观点,我们使用行业调查来询问一线人员他们认为数据可能没有的重要错误。显示。nVisium高级应用程序安全顾问、OWASP北弗吉尼亚分会负责人之一的BenPick向媒体透露,OWASPTop10并非出于合规目的,而是经常被用作合规参考。Pick解释说:“目前包含的条目旨在促进行业对数据贡献公司所面临的漏洞和利用趋势的理解,尤其是那些可能没有安全背景的公司。”“本质上,这份动态文档与我在各种评估中观察到的风险一致,我将继续使用此资源来了解新的威胁类型。OWASPTop10仍处于起步阶段,将作为安全业界继续审查其内容。K2Cyber??Security的首席技术官JayantShukla补充说,OWASP并没有简单地去除以前的风险,而是将现有的风险合并为几个类别并添加了新的类别,反映出Web应用程序的种类越来越多威胁。Shukla指出,服务器端请求伪造攻击和身份验证问题变得越来越严重的原因之一是越来越多的微服务被用于构建应用程序。“这些新的风险类别凸显了将安全性左移并改进生产前测试的必要性。不幸的是,这些问题在测试中往往很难发现,有时只有在不同的应用程序模块交互时才会出现,因此更难检测。”“事实上,美国国家标准与技术研究院(NIST)已经意识到这些问题缺点并于去年更新了他们的SP800-53应用程序安全框架,以包括运行时应用程序自我保护和交互式应用程序安全测试。其中,为了更好地防止这些关键的软件缺陷。现在是软件开发行业采用这些更有效技术的时候了。”OWASPTop10:https://owasp.org/Top10/
