2021 OWASP Top10 有什么新变化？

最新推荐文章于 2023-03-18 22:45:11 发布

Spring_java_gg

最新推荐文章于 2023-03-18 22:45:11 发布

阅读量890

点赞数

文章标签： python java 数据库安全大数据

原文链接：https://mp.weixin.qq.com/s?__biz=MzI3NTEwOTA4OQ==&mid=2649180717&idx=1&sn=6600728363e1534fa7188c11e5a2af48&chksm=f31a2fa3c46da6b5277549f4d609116ea3f5f7231fad13115cc219f417458fe4584695f09cc8&scene=126&&sessionid=0

版权

著名的 10 大 Web 应用程序漏洞列表自 2017 年以来首次更新。让我们看看最令人惊讶的变化是什么。

介绍

OWASP 代表开放 Web 应用程序安全项目，它是一个在线社区，可创建有关保护 Web 应用程序的免费内容。他们最著名的项目之一是 OWASP 前 10 名，这是他们通过研究发现的前 10 个 Web 应用程序漏洞的列表。最近 OWASP 对他们的网站以及 OWASP 前 10 名网站进行了改造。他们发现我们在 3-5 年后最普遍的漏洞不再是开发人员最大的安全问题。在本文中，我们将回顾OWASP Top 10 中的变化以及迄今为止最大的安全漏洞：

2017-2021

1. 被破坏的访问控制

根据 OWASP 前 10 名，以前排名第 5 位的访问控制失效现在是最严重的安全风险。访问控制是一种强制执行策略的机制，使用户无法执行超出其预期权限的操作。在他们的测试中，OWASP 测试了他们数据集中的应用程序是否存在某种形式的访问控制损坏以及其他安全漏洞。在他们的结果中，他们发现访问控制失效是最常见的漏洞，在测试的应用程序中出现了超过 318,000 次。这表明许多应用程序具有某种形式的破坏访问控制，允许用户执行他们不打算执行的操作。

2. 加密失败

以前称为敏感数据暴露, 现在上升为第三位并改名为加密失败。作者认为这种名称是“广泛的症状而不是根本原因”。它暗指敏感信息（如信用卡号、密码、健康记录或个人信息）未受加密保护并最终暴露的情况。

我们发现敏感信息的概念具有局限性，因为它没有考虑作为机密的敏感数据的编程类型。硬编码的密钥（API 密钥、凭据）实际上是公开的。我们同意这是根本原因的症状，实际上这不是加密失败本身，而是适当的秘密管理失败。

GitGuardian 的研究发现，许多公司机密被暴露，因此允许访问 OWASP 定义的敏感数据。我们认为应该提出一个更广泛的类别，包括暴露的两个根本原因。也许在下一版的 OWASP Top 10 中会详尽列出！

3. 注入攻击

这原本是名单上的第一名，但已被移至第三位。这是指基于注入的攻击，例如跨站点脚本、SQL 注入和 NoSQL 注入。这是应用程序接受未过滤或过滤不当的用户输入的直接结果。它在 OWASP 应用程序测试中出现次数第二多，出现 274,000 次。

4. 不安全的设计

这是指导致不同类型安全漏洞的应用程序设计缺陷。这与“设计安全”的原则完全相反。这里有一个重要的原则需要澄清，要理解这并不是 OWASP 前 10 名中所有其他弱点的根源。此列表中的其他 9 个漏洞都可能是安全设计不当的结果，这意味着您试图实施安全控制，但是无效的。相比之下，不安全的设计意味着在应用程序设计过程中没有设置安全控制，存在“缺失或无效的安全控制设计”。