此前称为“身份验证失效”(Broken Authentication)——排名从此前的第2位降到了第7位,而且该类别目前包含更多与识别失败相关的CWE。虽然该类别仍然位列Top 10榜单,但标准化框架的可用性增加似乎有助于解决这一问题。 A07解读: 如何避免识别和认证漏洞? OWASP建议的预防措施包括: 尽可能实施多因素身份验证,以防止凭...
本文使用的是OWASP TOP 10的2021年标准。 [TOP1]失效的访问控制 目标网站的某些页面可能会受到保护,从而不允许普通访问者对相关页面进行访问,例如,只有网站的管理员(admin)用户才能被允许访问用于管理其他用户的网站页面;如果目标网站的普通访问者能够访问他们无权查看的受保护页面,那么就代表目标站点的访问控制正处于失...
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。什么是OWASP Top ...
A06:2021年,脆弱过时组件(Vulnerable and Outdated Component)——此前名为“使用具有已知漏洞的组件”(Using Components with Known Vulnerabilities)——也从第6位一跃进入第6位。该类别是唯一一个没有任何CVE映射到所含CWE的类别,因此默认的漏洞与影响权重计5.0分。 A07:2021年,识别与认证失败(Identification and ...
不少互联网公司的相关岗位面试中,OWASP Top 10是最常被提及的。 了解OWASP Top 10,可以有效避免自己的Web应用程序被黑客轻易攻破。 除了OWASP Top 10,OWASP创建了许多项目,例如容器安全十大风险、十大隐私风险、API安全Top 10、十大移动应用恶意行为等等,但风头均没有盖过OWASP Top 10。 2021版OWASP Top 10 Top1...
OWASP TOP 10是开放式Web应用程序安全项目(Open Web Application Security Project)发布的年度全球最严重的十大web应用程序安全风险。截止到目前,最近一次的发布时间是2021年(上一次发布是2017年)。 A01:2021-失效的访问控制 A02:2021-加密机制失效
2021年 OWASP TOP 10 LIST向前迈出了一大步。OWASP 将安全性向左迁移,增加了新的类别,并对其排名进行了重大改变,这就要求企业从整体上重新评估其应用程序安全情势。国外头部网络安全公司在此方面提供了众多的工具,例如新思拥有完整的一套AST工具链,checkmarx令人称道的SCA工具。从理论上来说,企业不应该畏惧这些...
三、2021 OWASP TOP 10 LIST 有什么新变化? 对于2021年的LIST,OWASP 增加了三个新的类别,对命名和范围作了四处修改,并进行了一些整合。 1.中断访问控制(A01:2021):此前排名第5的中断访问控制问题(这个弱点允许攻击者访问用户账户)在2021年上升到了第1位。此上下文中的攻击者可以充当系统中的用户或管理员。
参考资料: https://www.csoonline.com/article/2088471/owasp-top-10-risks-list-attempts-to-establish-more-mature-approach-to-open-source-software-consumption.html 原文来源:FreeBuf
Top2 加密失败 在之前的Top10中,“加密失败”以前叫做“敏感数据泄露”,敏感数据泄露的根本原因是对数据加密存在有机可乘的漏洞,因此2021版改称为“加密失败”更贴切一些。 对于需要加密或加密传输的数据, 常见的漏洞包括: 数据采用明文形式传输,例如使用HTTP、SMTP和FTP等协议。