m o c . 5 h t i g b u 1 01. 项目介绍 • 2021版变化说明 • 2021版方法论 • 鸣谢 • 项目发布说明 • 中文版说明 02. 如何使用OWASP Top 10项目 m o c . 5 • 如何将 OWASP Top 10 作为一个标准使用 • 如何使用 OWASP Top 10 启动一个应用安全项目 03. 2021 OWASP Top 10清单 b u • 风险因素 • 风险概述 • 风险说明 • 预防措施 • 攻击范例 04. 相关资料文献 • 参考文献 • 对应的CWE • 数据要素汇总表 05. 关于OWASP • 欢迎加入我们 h t i g m o c . 5 b 项目介绍 u h t i g 3 欢迎参阅最新一期OWASP Top 10!2021年版OWASP Top 10是全新的,使用了新图形设计, 且可以单页的形式打印出来,或在OWASP的主页浏览项目内容。 非常感谢所有为2021年版发布贡献时间和数据的人们 。如果没有您们,就没有2021年版 OWASP Top 10的产出。谢谢! 2021年版Top 10有哪些变化? 2021年版Top 10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些 m o c . 5 整合。考虑到应关注根本原因而非症状,我们更改了一些类别的名称(*来源于社区调查结果)。 Top 10 2017 Top 10 2021 A01:2017-注入 Injection A01:2021-失效的访问控制 Broken Access Control A02:2017-失效的身份认证 Broken Authentication A02:2021-加密机制失效 Cryptographic Failures A03:2017-敏感信息泄漏 Sensitive Data Exposure A04:2017-XML外部实体 XML External Entities(XXE) b u h t i g A03:2021-注入 Injection A04:2021-不安全设计 Insecure Design 新 A05:2017-失效的访问控制 Broken Access Control A05:2021-安全配置错误 Security Misconfiguration A06:2017-安全配置错误 Security Misconfiguration A06:2021-自带缺陷和过时的组件 Vulnerable and Outdated Components A07:2017-跨站脚本 Cross-Site Scripting(XSS) A08:2017-不安全的反序列化 Insecure Deserialization A07:2021-身份识别和身份验证错误 Identification and Authentication Failures A08:2021-软件和数据完整性故障 Software and Data Integrity Failures 新 A09:2017-使用含有已知漏洞的组件 Using Components with Known Vulnerabilities A09:2021-安全日志和监控故障 Security Logging and Monitoring Failures A10:2017-不足的日志记录和监控 Insufficient Logging & Monitoring A10:2021-服务端请求伪造 Server-Side Request Forgery * * 新 A01:2021-失效的访问控制 Broken Access Control 从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据 表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险 中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹 配为“失效的访问控制”的CWE次数比任何其他类别都多。 A02:2021-加密机制失效 Cryptographic Failures 排名上升一位。其以前被称为“A3:2017-敏感信息泄漏(Sensitive Data Exposure)”。敏感信息泄漏是常见的症状,而非根本原因。 更新后的名称侧重于与密码学相关的风险,即之前已经隐含的根本原 因。此类风险通常会导致敏感数据泄露或系统被攻破。 A03:2021-注入 Injection 排名下滑两位。94%的应用程序进行了某种形式的注入风险测试,发 生安全事件的最大率为19%,平均率为3.37%,匹配到此类别的33个 CWE共发生27.4万次,是出现第二多的风险类别。原“A07:2017-跨 站脚本(XSS)”在2021年版中被纳入此风险类别。 A04:2021-不安全设计 Insecure Design 2021年版的一个新类别,其重点关注与设计缺陷相关的风险。如果我 们真的想让整个行业“安全左移” ,我们需要更多的威胁建模、安全 设计模式和原则,以及参考架构。不安全设计是无法通过完美的编码 来修复的;因为根据定义,所需的安全控制从来没有被创建出来以抵 御特定的安全攻击。 A05:2021-安全配置错误 Security Misconfiguration 排名上升一位。90%的应用程序都进行了某种形式的配置错误测试, 平均发生率为4.5%,超过20.8万次的CWE匹配到此风险类别。随着可 高度配置的软件越来越多,这一类别的风险也开始上升。原 “A04:2017-XML External Entities(XXE) XML外部实体”在2021年 版中被纳入此风险类别。 A06:2021-自带缺陷和过时 的组件 Vulnerable and Outdated Components 排名上升三位。在社区调查中排名第2。同时,通过数据分析也有足够 的数据进入前10名,是我们难以测试和评估风险的已知问题。它是唯 一一个没有发生CVE漏洞的风险类别。因此,默认此类别的利用和影 响 权 重 值 为 5.0 。 原 类 别 命 名 为 “ A09:2017-Using Components with Known Vulnerabilities 使用含有已知漏洞的组件”。 A07:2021-身份识别和身份 验证错误 Identification and Authentication Failures 排名下滑五位。原标题“A02:2017-Broken Authentication失效的身 份认证”。现在包括了更多与识别错误相关的CWE。这个类别仍然是 Top 10的组成部分,但随着标准化框架使用的增加,此类风险有减少 的趋势。 A08:2021-软件和数据完整 性故障 Software and Data Integrity Failures 2021年版的一个新类别,其重点是:在没有验证完整性的情况下做出 与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹 配的CWE类别,并且拥有最高的平均加权影响值。原“A08:2017Insecure Deserialization不安全的反序列化”现在是本大类的一部分。 A09:2021-安全日志和监控 故障 Security Logging and Monitoring Failures 排名上升一位。来源于社区调查(排名第3)。原名为“A10:2017Insufficient Logging & Monitoring 不足的日志记录和监控”。此类 别 现扩大范围 ,包括 了更 多 类 型 的、难以 测试的故障 。此 类 别在 CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响 可见性、事件告警和取证。 A10:2021-服务端请求伪造 Server-Side Request Forgery 2021年版的一个新类别,来源于社区调查(排名第1)。数据显示发 生率相对较低,测试覆盖率高于平均水平,并且利用和影响潜力的评 级高于平均水平。加入此类别风险是说明:即使目前通过数据没有体 现,但是安全社区成员告诉我们,这也是一个很重要的风险。 m o c . 5 b u h t i g 2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动。我们从公 开收集的数据中选定了8个类别,又从Top 10社区调查结果中选择了2个高级别的类别,组成了10个 类别。我们这样做是为了一个根本原因,通过查看收集到的数据来回顾过去。因为应用安全研究人 员寻找新的漏洞和测试它们的新方法需要时间,将这些测试集成到工具和流程中也需要时间。当我 们能够可靠地大规模测试弱点时,可能已经过去了很长时间。为了平衡这种观点,我们使用社区调 查来向一线应用程序安全和开发专家征求意见,询问他们认为数据可能尚未体现出来的、极其重要 的弱点。 我们采用了一些关键变化来增加Top 10的成熟度。 m o c . 5 类别是如何构建的? 如何使用数据选择类别? 为什么不只是单纯的统计数据? 为什么是事件发生率而不是频率? h t i g 您的数据收集和分析过程是怎样的? 数据要素 b u 类别是如何构建的? 与以往版本的OWASP Top 10相比,本版本的一些类别发生了变化。以下是类别变化的简要描 述。 以前的数据收集工作集中在大约30个CWE的规定子集上,并有一个要求额外发现的领域。我们 了解到,组织将主要关注规定的30个CWE,且很少添加他们看到的其他CWE。在本次版本更新过程 中,我们打破这种方法,仅询问数据,且对CWE没有限制。我们查询了特定年份(从2017年开始) 测试的应用程序数量,以及在测试中发现至少一个CWE实例的应用程序数量。这种格式使我们能够 m o c . 5 跟踪每个CWE在应用程序群体中的流行程度。为了达到我们的目的,我们放弃使用了频率;虽然在 其他情况下可能有必要,但它仅隐藏了应用程序群体中的实际流行率。一个应用是否具有4个CWE实 例或4000个实例,这都不属于Top 10计算的范围。我们从大约30个CWE增加到近400个CWE,以在 数据集中进行分析(我们计划在未来做额外的数据分析作为补充)。而CWE数量的显着增加导致我 们需要改变类别的结构。 b u 我们花了几个月的时间对CWE进行分组和分类,本可以再持续几个月,但我们不得不在某个时 h t i g 候停下来。CWE有“根本原因”类型和“症状”类型,其中,“根本原因”类型如“Cryptographic Failure加密机
OWASP TOP10 2021中文版
文档预览
中文文档
50 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共50页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-19 11:45:29上传分享