OWASP 2021 年十大问题信息图
OWASP 十大漏洞:
新一轮风险
介绍
当今的数字经济依赖于现代应用程序和架构、多云部署以及第三方集成,包括软件供应链和 CI/CD 管道,这为攻击者提供了大量的机会。 2021 年 OWASP Top 10 解决了新一波风险,是提高应用设计和实施安全性的必读指南。
20 年来最重要的更新
OWASP Top 10 于 2003 年首次发布,代表了对 Web应用最严重的安全风险的广泛共识。 20 年来,最大的风险基本保持不变,但 2021 年的更新做出了重大改变,解决了三个主题领域的应用风险:
造成违规的首要原因是什么?
访问攻击
“访问攻击,即针对面向用户的身份验证界面的攻击,是造成违规的最常见原因。”1
— 2022 年application保护报告: 预计撤离
2021 年的新内容
以下是影响 OWASP Top 10 更新的关键因素:
2017
专注于传统 Web应用
小数据集(规定的 30 个 CWE 子集)
各种风险因素、技术/业务影响
注射是二十多年来最大的风险
2021
转向现代架构
具有 400 个 CWE 的数据驱动流程
根据症状和根本原因重新分类
新一轮风险:不安全的设计和实施
2021 年 OWASP 十大安全风险
A01
访问控制失效
A02
加密失败
A03
注射
A04
不安全的设计
A05
安全配置错误
A6
易受攻击和过时的组件
A7
识别和认证失败
A8
软件和数据完整性故障
A9
安全日志记录和监控失败
A10
服务器端请求伪造 (SSRF)
主题 #1
症状与根本原因相符
有何变化?
OWASP 十大风险映射到常见弱点枚举 (CWE),这些弱点通常会成为漏洞利用。 但之前的 OWASP 数据收集主要集中于规定的 30 个 CWE,并且之前的列表并未对代表根本原因的 CWE 与具有多种潜在原因的更具症状性的弱点进行显著区分。 2021 年名单反映了 400 个 CWE,因此可以进行更广泛的分析。
2017年: 症状
答:2017
敏感数据泄露
答案:
跨站点脚本 (XSS)
答:2017 年
XML 外部实体(XXE)
答案:
使用具有已知漏洞的组件
答案:
不安全的反序列化
答10:2017
记录和监控不足
2021年: 根本原因
A02:2021
加密失败
A03:2021
注射
A05:2021
安全配置错误
A06:2021
易受攻击和过时的组件
A08:2021
软件和数据完整性故障
A09:2021
安全日志记录和监控失败
这为什么重要?
2021 年的列表更好地将症状与根本原因联系起来,以帮助安全团队专注于从源头上降低风险。
造成云泄露的首要原因是什么?
安全配置错误
“我们希望你真正思考这些根本原因以及你可以采取哪些措施来解决它们,而不是试图用创可贴来掩盖症状。”2
—OWASP 基金会执行董事 Andrew van der Stock
主题 #2
新的风险类别
有何变化?
三个新的风险类别强调需要从应用设计开始就解决安全性问题,并将安全性作为软件生命周期的一部分。
A04: 2021
不安全的设计
A08: 2021
软件和数据完整性故障
答案10: 2021
服务器端请求伪造
这为什么重要?
log4j2 漏洞的最近公布凸显了开源软件漏洞的重要性。 log4j2 日志实用程序中的弱点映射到两个 OWASP 十大风险类别,并且具有实际漏洞的 CVE 使其成为三重奏 - 注入、软件和数据完整性故障以及易受攻击和过时的组件。
图 1: 开源 Apache Log4j2 日志实用程序中的 Log4Shell 漏洞就是跨多个风险类别攻击的一个例子。 当启用消息查找替换时,它允许执行从 LDAP 服务器加载的任意代码。
“安全设计仍然可能存在实施缺陷,从而导致可能被利用的漏洞。”
—2021 年 OWASP 十大漏洞
主题 #3
保护现代应用程序和架构
有何变化?
application架构已经不断发展,包括云部署、容器化、移动应用程序以及大量 API 和第三方集成。 登录页面、购物车和其他业务逻辑并不是缺陷,但它们本质上容易受到滥用。 2021 年 OWASP Top 10 为新世界秩序中的主动和预防性安全提供了指导。
图2: 昨天的最佳实践不足以满足当今分布式现代应用和架构的需求。
这为什么重要?
安全性必须贯穿于整个应用开发过程,包括安全的 CI/CD 管道、组件清单、威胁建模和合理的风险管理。 最新的 OWASP Top 10 为安全和 AppDev/DevOps 专业人士提供了资源,致力于将安全性进一步转移到基本设计原则中。
1 F5 2022application保护报告。
2 范德斯托克,安德鲁, OWASP Top 10 ,YouTube。 2021 年 10 月 8 日。
