以下是 OWASP Top 10 2021版的十大安全漏洞及其简要解释: 2.1 A01:2021 - Broken Access Control(破坏的访问控制) 访问控制是指管理用户访问资源的安全策略。破坏的访问控制漏洞发生在应用程序未能正确执行授权策略,导致攻击者能够访问本不应该有权限访问的资源。常见的攻击方式包括垂直权限提升(如普通用户获取管理员权限...
此前称为“身份验证失效”(Broken Authentication)——排名从此前的第2位降到了第7位,而且该类别目前包含更多与识别失败相关的CWE。虽然该类别仍然位列Top 10榜单,但标准化框架的可用性增加似乎有助于解决这一问题。 A07解读: 如何避免识别和认证漏洞? OWASP建议的预防措施包括: 尽可能实施多因素身份验证,以防止凭...
从第一位下降到第三位,它是一种攻击者利用未经验证的输入漏洞并通过在后端数据库中运行Web应用程序注入SQL命令的技术。04、2021–不安全的设计 这是OWASP Top 2021的一个新类别,它关注与设计和架构缺陷相关的风险。“不安全设计是一个广泛的类别,代表许多不同的弱点,表现为缺失或无效的控制设计”。05、2021–...
Top2 加密失败 在之前的Top10中,“加密失败”以前叫做“敏感数据泄露”,敏感数据泄露的根本原因是对数据加密存在有机可乘的漏洞,因此2021版改称为“加密失败”更贴切一些。对于需要加密或加密传输的数据,常见的漏洞包括:数据采用明文形式传输,例如使用HTTP、SMTP和FTP等协议。默认情况下或在老代码中使用弱加密...
2021年版Top 10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些整合。考虑到应关注根本原因而非症状,更改了一些类别的名称(*来源于社区调查结果)。 A01:2021-失效的访问控制 Broken Access Control 从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据表明,平均3.81%的测试应用程序具...
OWASP Top 10 2021 OWASP TOP 10是开放式Web应用程序安全项目(Open Web Application Security Project)发布的年度全球最严重的十大web应用程序安全风险。截止到目前,最近一次的发布时间是2021年(上一次发布是2017年)。 A01:2021-失效的访问控制 A02:2021-加密机制失效...
不少互联网公司的相关岗位面试中,OWASP Top 10是最常被提及的。 了解OWASP Top 10,可以有效避免自己的Web应用程序被黑客轻易攻破。 除了OWASP Top 10,OWASP创建了许多项目,例如容器安全十大风险、十大隐私风险、API安全Top 10、十大移动应用恶意行为等等,但风头均没有盖过OWASP Top 10。 2021版OWASP Top 10 Top1...
2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动,我们从公开收集的数据中选定了8个类别,之后又从Top 10社区调查结果中选择了2个高级别的类别,组成了10个类别。我们这样做是为了一个根本原因——通过查看收集到的数据来回顾过去。因为应用安全研究人员寻找新的漏洞和测试它们的新方法需要时间...
Top2 加密失败 在之前的Top10中,“加密失败”以前叫做“敏感数据泄露”,敏感数据泄露的根本原因是对数据加密存在有机可乘的漏洞,因此2021版改称为“加密失败”更贴切一些。 对于需要加密或加密传输的数据, 常见的漏洞包括: 数据采用明文形式传输,例如使用HTTP、SMTP和FTP等协议。
近日,OWASP从贡献者提供的数据中选择了8个类别,从高水平的行业调查中选择了2个类别,完成了最新的OWASP Top 10 2021 榜单。OWASP表示, “我们这么做的根本原因是,分析贡献者提供的数据就是回顾过去。AppSec研究人员花时间寻找新的漏洞和测试它们的新方法。将这些测试集成到工具与流程中需要时间。当我们能够可靠地大...