视频

John 一开始便解释了什么是 OWASP Top 10。他强调了一些主题，比如有关症状和根本原因的风险重新定位、新的风险类别以及现代应用架构。请观看视频，详细了解十大风险。

94% 经过测试的应用显示出了某种形式的访问控制失效。故障可能会导致未经授权的数据披露、修改或破坏以及权限升级，并导致帐户接管 (ATO)、数据泄露、罚款和品牌损害。

加密故障，之前称之为“敏感数据暴露”，导致敏感数据暴露和用户会话被劫持。尽管 TLS 1.3 被广泛采用，但易受攻击的旧版协议仍然被启用。

注入是一类广泛的攻击载体，其中不受信任的输入会改变应用项目执行。这可能导致数据被盗、数据完整性的丧失、拒绝服务和整个系统被破坏。注入不再是最大的风险，但仍然是非常可怕的风险。

安全性是应用必不可少的要素。安全的设计仍然可能存在导致漏洞的实施缺陷，而不安全的设计不可能通过完美的实施来修复。

安全配置错误是云泄露的主要原因。了解如何应对和避免，因为现代应用开发、软件重复使用和各种云的架构蔓延会增加这一风险。

开源软件漏洞是许多最大安全事件的幕后黑手。最近的 Log4j2 漏洞可能是迄今为止该类别中最严重的风险。

确认身份并使用强大的身份验证和会话管理功能来防止业务逻辑的滥用至关重要。大多数身份验证攻击可以追溯到密码的持续使用。被破坏的凭证、僵尸网络和先进的工具可为凭证填充等自动化攻击带来可观的投资回报率。

此类新风险主要是指在没有核实完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。SolarWinds 供应链攻击是我们见过的最具破坏性的攻击之一。