翻译理解案例

来源OWASP Top Ten Web Application Security Risks | OWASPhttp://owasp.org/www-project-top-ten/

OWASP Top 10 是面向开发人员和 Web 应用程序安全性的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。

全球公认的开发人员是迈向更安全编码的第一步。

公司应采用本文档并开始确保其 Web 应用程序将这些风险降至最低的过程。使用 OWASP Top 10 可能是将组织内的软件开发文化转变为生成更安全代码的最有效的第一步。
 

十大 Web 应用程序安全风险

有三个新类别，四个类别的命名和范围发生了变化，并在 2021 年的前 10 名中进行了一些合并。

• A01:2021-Broken Access Control从第五位上升；94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到中断访问控制的 34 个常见弱点枚举 (CWE) 在应用程序中出现的次数比任何其他类别都多。
• A02:2021-加密失败将排名上升一位至#2，以前称为敏感数据暴露，这是广泛的症状而不是根本原因。此处重新关注与密码学相关的故障，这些故障通常会导致敏感数据暴露或系统受损。
• A03:2021-Injection下滑至第三位。94% 的应用程序都针对某种形式的注入进行了测试，映射到此类别的 33 个 CWE 在应用程序中的出现次数排名第二。跨站点脚本现在是本版本中这一类别的一部分。
• A04:2021-不安全设计是2021 年的一个新类别，重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“向左移动”，就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
• A05:2021-安全配置错误从上一版的第 6 位上升；90% 的应用程序都经过了某种形式的错误配置测试。随着更多转向高度可配置的软件，看到这一类别上升也就不足为奇了。XML 外部实体 (XXE) 的前一个类别现在属于此类别。
• A06:2021-Vulnerable and Outdated Components之前的标题是使用具有已知漏洞的组件，在前 10 名社区调查中排名第二，但也有足够的数据通过数据分析进入前 10 名。该类别从 2017 年的第 9 位上升，是我们难以测试和评估风险的已知问题。它是唯一没有任何常见漏洞和暴露 (CVE) 映射到包含的 CWE 的类别，因此默认的利用和影响权重 5.0 被计入它们的分数。
• A07:2021-Identification and Authentication Failures之前是 Broken Authentication 并且从第二位下滑，现在包括与识别失败更多相关的 CWE。这个类别仍然是前 10 名的一个组成部分，但标准化框架的可用性增加似乎有所帮助。
• A08:2021-软件和数据完整性故障是 2021 年的一个新类别，专注于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。来自常见漏洞和暴露/常见漏洞评分系统 (CVE/CVSS) 数据的最高加权影响之一映射到该类别中的 10 个 CWE。2017 年的不安全反序列化现在是这个更大类别的一部分。
• A09:2021-安全日志记录和监控失败以前是日志记录和监控不足，是从行业调查 (#3) 中添加的，从之前的 #10 上升。此类别已扩展为包括更多类型的故障，难以测试，并且在 CVE/CVSS 数据中没有得到很好的体现。但是，此类故障会直接影响可见性、事件警报和取证。
• A10:2021-Server-Side Request Forgery添加自 Top 10 社区调查 (#1)。数据显示发生率相对较低，测试覆盖率高于平均水平，并且利用和影响潜力的评级高于平均水平。此类别代表安全社区成员告诉我们这很重要的场景，即使目前数据中没有说明这一点。