OWASP Top 10 2021 OWASP TOP 10是开放式Web应用程序安全项目(Open Web Application Security Project)发布的年度全球最严重的十大web应用程序安全风险。截止到目前,最近一次的发布时间是2021年(上一次发布是2017年)。 A01:2021-失效的访问控制 A02:2021-加密机制失效 A03:2021-注入式攻击 A0...
Top2 :加密失败 在之前的Top10中,“加密失败”以前叫做“敏感数据泄露”,敏感数据泄露的根本原因是对数据加密存在有机可乘的漏洞,因此2021版改称为“加密失败”更贴切一些。 对于需要加密或加密传输的数据,常见风险点: 1.数据采用明文形式传输,例如使用HTTP、SMTP和FTP等协议。 2.默认情况下或在老代码中使用弱加...
这是OWASP Top 10 2021中引入的一个新类别,它侧重于与无法防止完整性违规的代码和基础设施相关的软件和数据完整性故障。09、2021–安全日志记录和监控失败 从第十位上升至第九位,此类别有助于检测、升级和响应主动攻击。10、2021–服务器端请求伪造(SSRF)此类别侧重于保护Web应用程序在不验证用户提供的URL的情况...
A07:2021年,识别与认证失败(Identification and Authentication Failure)——此前称为“身份验证失效”(Broken Authentication)——排名从此前的第2位降到了第7位,而且该类别目前包含更多与识别失败相关的CWE。虽然该类别仍然位列Top 10榜单,但标准化框架的可用性增加似乎有助于解决这一问题。 A08:软件和数据完整性故...
近日,OWASP发布了2021年Top 10十大Web应用安全风险榜单的草案,增加了三个新的类别,同时部分安全风险的排名发生变化。 OWASP Top 10是每个Web应用程序的最低或基本安全测试要求,于2003年首次推出,经过多次修订,近日发布了2021年的报告草案。相比上一个正式版本,新增了三个风险,大多数风险名称和排名发生较大变化: ...
2021 OWASP TOP 10 新榜详解 A01访问控制失效(Broken Access Control) 从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。映射到访问控制失效的34个CWE在应用程序中的出现频率比其他任何类别都要多。 A01解读: 访问控制是指对经过身份验证的用户执行超出其权限级别的操作的限制。当此类限制...
(2021-Vulnerable and Outdated Components)前版名称是“应用已知漏洞组件”(Known Vulnerabilities),在行业调查中位列第2,并有足够的数据通过数据分析进入Top 10排名。该类别从 2017 年的第9位上升,是一个难以测试和评估风险的已知问题。这是唯一没有任何CVE可以对应到已归结CWE的主题,因此以默认的利用和影响...
OWASP发布2021版本的Top 10安全漏洞。 非营利性组织Open Web Application Security Project (OWASP)发布2021版的Top 10安全漏洞初稿,这是自2017年11月发布OWASP Top 10 2017后的第一个修改。 OWASP Top 10 2017和新OWASP Top 10 2021的映射关系 A01:2021-Broken Access Control失效的访问控制 ...
OWASP发布2021版本的Top 10安全漏洞。 非营利性组织Open Web Application Security Project (OWASP)发布2021版的Top 10安全漏洞初稿,这是自2017年11月发布OWASP Top 10 2017后的第一个修改。 OWASP Top 10 2017和新OWASP Top 10 2021的映射关系 ◼A01:2021-Broken Access Control失效的访问控制 ...
(9)A08:2021-安全日志记录和监控失败,此前名为“日志记录和监控不充分“,在行业调查中名列第3,原先名列第10。该类型涵盖的失败类型增多,测试难度增强,也并未在 CVE/CVSS 数据中得到很好的表示。然而,这种失败类型可直接影响可见性、时间警报和取证。