OWASP TOP 10 2021版

OWASP是开放式Web应用程序安全项目（Open Web Application Security Project）的简称，是一个致力于提高软件安全的非营利组织。

 

OWASP TOP 10是OWASP组织发布的针对Web应用程序的十大最严重安全漏洞列表。(目前发布最新版本为2021)官方文档网址:https://owasp.org/Top10/

 

以下是OWASP TOP 10 2021版的十个安全漏洞超精简介绍：

A01:2021 - 失效的访问控制

应用程序对已认证用户的访问权限缺乏有效管理。攻击者可能利用此漏洞，冒充其他用户或角色，越权访问敏感功能或数据，如未经授权创建、读取、更新或删除记录。

A02:2021 - 密码学失败

在加密过程中存在错误，如密钥管理薄弱、数据传输不安全或选用不安全的加密算法，这可能导致敏感信息泄露，使系统易受攻击。

A03:2021 - 注入

攻击者通过在用户输入或其他数据源中注入恶意代码，以操纵应用程序执行非预期的操作，包括SQL注入、NoSQL注入和OS命令注入等。

A04:2021 - 不安全设计

在应用程序设计阶段，因缺乏威胁建模、未遵循安全设计模式与原则等，导致存在安全缺陷，可能引发长期安全风险。

A05:2021 - 安全配置错误

软件配置存在问题，如未正确锁定设置、使用默认密码或存在其他配置漏洞，给攻击者提供了可乘之机。

A06:2021 - 易受攻击和过时的组件

使用有已知漏洞的第三方库或组件，会降低系统整体安全性，且这些漏洞若未及时修补，易被攻击者利用。

A07:2021 - 识别和认证失败

身份验证机制存在漏洞，如弱密码策略、会话固定或重置密码过程存在缺陷，可能导致用户身份被窃取或认证过程被绕过。

A08:2021 - 软件和数据完整性故障

软件更新、关键数据及持续集成/持续部署管道的完整性未经验证，可能导致软件被篡改、数据丢失或损坏。

A09:2021 - 安全日志记录和监控失败

由于日志记录和监控不充分，安全事件难以被及时检测，攻击者可更隐蔽地进行恶意活动，影响对安全事件的响应和调查。

A10:2021 - 服务器端请求伪造

攻击者利用应用程序对服务器端请求的处理漏洞，以受害者身份执行服务器端操作，访问受保护资源或执行恶意指令。