A01:2021- 权限控制从第五名移上来;94% 被测试的应用程序控制测试到某个类别权限失效的问题。 。
A02:2021-机械智能无法提升到第二名,之前为敏感数据外曝,在此定义下定义一个广泛的问题。机制的失败,并因此导致资料外泄系统被破坏。
A03:2021-注入式攻击到第三名。94%被测试的应用程序测试到某个类别的注入式攻击的问题。在注入式攻击这个类别中被测试到的33个CWEs在测试测资料中出现的次数为弱点问题的第二高。跨站这个脚本攻击现在在新版本类别。
A04:2021-不安全设计这是2021年版本的新类别,并特别针注在与设计相关的产业如果我们真的希望让整个“向左移动”注一,那我们必须更进一步往往建模,安全设计模块的,和安全参考资料前进。
*注一:早在英文译文中代表在软体开发及交付过程中左移,在查明及处理相关问题,同左移测试。*
A05:2021-安全设置缺陷从上一版本的第六个移动上来。90%被测试的应用程序测试到一类的安全设置缺陷。设置移动,我们不是这个类别的问题往上移动。在前版本中的 XML 外部实体注入攻击(XML 外部实体)现在属于这个类别。
A06:2021-危险或旧过的元件在之前的标题为有已知的弱点的使用元件。从 2017 版本的第九名爬升到第六,也是我们持续的朋友做测试和评估的类别。类别的感觉上被预设为 5.0。
A07:2021-认证及失效机制在之前标题为错误的认证机制。缺失的一环,但同时也有发现现在的系统有帮助降低次风险发生机率。
A082021-软体资料及更新合法并是2021年版本的全新类别,软体及机敏重要资料,和CI/CD:管道中并没有做鉴定认为假设做假设并进行评估。在评估中影响权重最高分的 CVE/CVSS 资料都与这类别中的 10 个 CWE 对应。2017 年版本中不安全的反序列化现在被合并到这一类别。
A09:2021-资安记录及监控失效在为不完整的记录及监控并开始在行业小组中在本次列名第三名并从之前的第十次上移。虽说是相当的难,但并没有相当多的CVE/CVSS资料可以佐证去验证。不过这个类别中的类别会直接影响到整体安全的可视性,事件认知及识识。
A10:2020021-服务器端请求有机会出现在业界冠军第一名,并在此版本内有新的出现。资料显示此问题较低被检测次数和范围,但影响范围有很大的全国的威胁及范围这个类别的申明也是行业专家重复的这个类别的问题相当重要,即使在本次资料中没有这个话题的资料去显示问题。
声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:https://owasp.org/Top10/zh_TW/
1885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
