OWASP TOP10_owasp 同步cve

开放式Web应用程序安全项目

OWASP 前 10 名是针对开发人员和 Web 应用程序安全的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。

全球被开发人员视为迈向更安全编码的第一步。

公司应采用此文档，并启动确保其 Web 应用程序将这些风险降至最低的过程。使用 OWASP Top 10 也许是将组织内的软件开发文化转变为产生更安全代码的最有效的第一步。

十大网络应用安全风险
有三个新类别，四个类别的命名和范围的变化，和一些巩固在前10名2021年。

A01：A01:2021-中断的访问控制。从第五位上升：94% 的应用程序进行了某种形式的访问控制中断测试。映射到"中断访问控制"的 34 个常见弱项列举 （CWEs） 在应用程序中发生的事件比任何其他类别都多。
A02：2021-加密故障。将一个位置向上移动到 #2，以前称为敏感数据暴露，这是广泛的症状，而不是根本原因。这里重新关注的是与密码学相关的故障，这些故障通常会导致敏感数据暴露或系统泄露。
A03：2021-注入。滑落到第三位。94% 的应用进行了某种形式的注射测试，而映射到该类别的 33 个 CWEs 在应用中发生率第二多。跨站点脚本现在是本版本中此类别的一部分。
A04：2021-不安全设计是 2021 年的新类别，重点是与设计缺陷相关的风险。如果我们真正想要作为一个行业"向左移动"，它需要更多地使用威胁建模、安全的设计模式和原则以及参考架构。
A05：2021-安全配置错误。从上一版的第6位上升;90% 的应用程序进行了某种形式的错误配置测试。随着更多转向高度可配置的软件，看到这一类别上升并不奇怪。XML 外部实体 （XXE） 的前类别现已成为此类别的一部分。

A06:2021-易损和过时组件。以前被命名为"使用已知漏洞的组件"，在前 10 个社区调查中排名第 2 位，但也有足够的数据通过数据分析进入前 10 名。这一类别从 2017 年的 #9 上升，是一个众所周知的问题，我们很难测试和评估风险。它是唯一没有将任何常见漏洞和暴露 （CVEs） 映射到所包含的 CWEs 的类别，因此在其分数中考虑了 5.0 的默认漏洞和影响权重。
A07：2021-身份验证和身份验证失败。以前是损坏的身份验证，并且从第二位置滑落，现在包括与身份验证故障关联更大的 CW。这一类别仍然是前 10 名中不可或缺的一部分，但标准化框架的增加似乎有所帮助。
A08：2021-软件和数据完整性故障。是 2021 年的新类别，重点是在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。常见漏洞和暴露/常见漏洞评分系统 （CVE/CVSS） 数据映射到该类别中的 10 个 CWE 的权重影响之一。从 2017 年起，不安全的去市场化现已成为这一更大类别的一部分。
A09：2021-安全记录和监控故障。以前是记录和监控不足，并且从行业调查 （#3） 中添加，从之前的 #10 上升。此类别已扩展至包含更多类型的故障，具有测试的困难，并且在 CVE/CVSS 数据中未很好地表示。但是，此类故障会直接影响可见性、事件警报和取证。
A10：2021-服务器侧请求伪造添加。自前 10 名社区调查 （#1）。数据显示，高于平均水平的测试覆盖率相对较低，同时对利用和影响潜力的评分也高于平均水平。此类别表示安全社区成员告诉我们这一点非常重要的情况，尽管此时数据中未说明这一点。