OWASP—Top10（2021知识总结）_owasp top 10

OWASP top10

2021年版TOP 10产生三个新类别，且进行了一些整合

考虑到应关注根本原因而不是症状。

A01：失效的访问控制

​ 从第五位上升称为Web应用程序安全风险最严重的类别，常见的CWE包括：将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造（csrf）

风险说明：

​ 访问强制实施策略，使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露，修改或者销毁所有数据，或在用户权限之外执行业务功能。

常见的访问控制脆弱点：

• 违法最小权限原则或默认拒绝原则，即访问权限应只授予特定能力、角色或用户，但实际上任何人都可以访问
• 通过修改URL（参数修改或强制浏览），内部应用程序状态或者HTML页面，或者使用修改API请求的攻击工具绕过访问控制检查
• 通过提供唯一的标识符允许查看或编辑他人账户
• API没有对POST、PUT和DELETE强制执行访问控制
• 特权提升，在未登陆的情况下假扮用户或以用户身份登入时充当管理员

…

预防措施

开发人员和QA人员应进行访问控制功能的单元测试和集成测试

访问控制只在受信服务器端代码或者无服务器API中有效，这样攻击者才无法修改访问控制检查或元数据

• 除公有资源外，默认访问拒绝

• 使用一次性的访问控制机制，并在整个应用程序中不断重用它们，包括最小化跨资源共享（CORS）的使用

• 建立访问控制模型以强制执行所有权记录，而不是简单接受用户创建、读取、更新或删除的任何记录

• 在日志中记录失败的访问控制，并在适当时向管理员告警（例如：重复故障）

  …

A02：加密机制失效

​ 上升一位到第二位，以前称为“敏感数据泄露”。敏感数据泄露更像是一种常见的表象问题而