在最新排名中,访问控制失败(Broken Access Control)从第五名上升到第一名。
非营利基金会开放Web应用安全项目(OWASP)发布了其2021年Top 10漏洞排名更新(初版),自2017年11月以来首次变更。
新列表突出了明显的变化,包括访问控制失败的快速上升——从第五名升到第一名。该组织声称,94%的应用程序实施了某种形式的访问控制失效测试,“34个映射到访问控制失败CWE出现率高于其他类别。”
加密失败与敏感数据暴露和系统损坏有关(Cryptographic Failure)也上升到榜单第二位。(Injection)但是OWASP94%的应用程序测试了某种形式的注入,现在包括跨站脚本。
不安全设计是2021年的一个新类别(Insecure Design)一出场就排名第四。安全配置错误(Security Misconfiguration)随后,榜单比2017年上升了一个。
安全配置错误类别现在包括外部实体。列表编辑认为,考虑到90%的应用程序测试了某种形式的错误配置,转向高度可配置软件的趋势是不可逆转的,这一类别的排名上升也就不足为奇了。
过时组件脆弱(Vulnerable and Outdated Component)在2017年的榜单中排名第九,但今年的排名直至第六。
编者指出:“这个类别是唯一一个没有任何东西的类别CVE映射到所含CWE因此,默认漏洞和权重计的影响5.0分。”
识别和认证失败(Identification and Authentication Failure)以前被称为身份验证失(Broken Authentication),今年排名从第二降到第七。OWASP这是因为标准化框架可用性的增加有助于解决这个问题。
数据完整性故障(Software and Data Integrity Failure)这是2021年的一个新类别,主要关注软件更新、关键数据和连续集成/连续交付,缺乏完整性验证(CI/CD)各种与装配线相关的假设。
OWASP称:“CVE/CVSS数据最高加权影响之一映射到该类别中的10个CWE。2017年的不安全反序列化(Insecure Deserialization)现在属于这个更大的类别。”
安全日志和监控失败(Security Logging and Monitoring Failure)在之前的榜单中排名垫底,但今年上升了一个,并扩展到其他类型的故障中。虽然这些故障不容易测试,但它们“直接影响可见性、事件报警和证据收集。”
最后一个是服务器端要求伪造(Server-Side Request Forgery),其发生率“相对较低”,但业内专家经常提到这种类型。
OWASP表示,总的说来,今年新增了三种全新类型,有四种类型要么名字变了,要么范围变了。十多年来,OWASP不断推出贡献者提供的数据和行业调查结果Top 10榜单。
“我们这样做的根本原因是,贡献者提供的数据正在审视过去。应用安全研究人员花时间寻找新的漏洞和新的漏洞测试方法。将这些测试整合到工具和过程中需要时间。”
“当我们能够可靠地大规模地测试一个缺陷时,很可能已经过去了好几年了。为了平衡观点,我们通过行业调查询问一线人员,了解数据可能没有显示出他们眼中的重要缺陷。”
Ben Pick是nVisium高级应用安全顾问也是OWASP他向媒体透露,北弗吉尼亚分会的领导人之一,OWASP Top 10无意用于合规目的,但常作为合规参考。
Pick解释称:“目前,该条目旨在促进行业了解数据贡献公司面临的漏洞利用趋势,特别是那些可能没有安全背景的公司。”
“基本上,这份新文件符合我在各种评估中观察到的各种风险,我将继续使用这些资源来了解新的威胁类型。OWASP Top 10仍处于初始阶段,将随着安全行业的不断审查而编辑和改进。
K2 Cyber Security首席技术官Jayant Shukla补充称,OWASP过去的风险并没有直接删除,而是将现有的风险整合到几个类别中,增加新的风险,反映了各种日益增长的风险Web应用威胁。
Shukla指出服务器端要求伪造攻击和身份验证的原因之一是在构建应用程序时使用了越来越多的微服务。
“这些新的风险类别突出了生产前安全左移和改进测试的必要性。不幸的是,这些问题往往很难在测试中发现,有时只在不同的应用程序模块交互时曝光,因此更难检测到。”
“事实上,美国国家标准与技术研究所(NIST)他们已经意识到这些缺点SP800-53应用安全框架包括应用自保护和交互应用安全测试,以更好地防止这些关键软件缺陷。是时候使用这些更有效的技术了。”
OWASP Top 10:https://owasp.org/Top10/