OWASP Top 10 2021

owasp-top-10-2021

..Có gì thay đổi trong OWASP Top 10 năm 2021 so với Top 10 2017 ?

owasp-top-10-2021
owasp-top-10-2021

Có Ba Danh Mục Mới, Bốn Danh Mục Có Thay Đổi Về Tên Và Phạm Vi, Và Một Số Hợp Nhất Trong Top 10 Cho Năm 2021. Chúng Tôi Đã Thay Đổi Tên Khi Cần Thiết Để Tập Trung Vào Nguyên Nhân Gốc Rễ Của Triệu Chứng.

change-owasp-top-10-2021
change-owasp-top-10-2021

 

A01: 2021- Broken Access Control (Kiểm Soát Truy Cập Trái Phép)

Di Chuyển Từ Vị Trí Thứ Năm Lên Danh Mục Có Rủi Ro Bảo Mật Ứng Dụng Web Nghiêm Trọng Nhất. Dữ Liệu Được Đóng Góp Chỉ Ra Rằng Trung Bình. 3,81% Ứng Dụng Được Kiểm Tra Có Một Hoặc Nhiều Liệt Kê Điểm Yếu Chung (CWE). Với Hơn 318k Lần Xuất Hiện CWE Trong Danh Mục Rủi Ro Này. 34 CWE Được Ánh Xạ Tới Kiểm Soát Truy Cập Bị Hỏng Có Nhiều Lần Xuất Hiện Trong Các Ứng Dụng Hơn Bất Kỳ Danh Mục Nào Khác.

A02: 2021- Cryptographic Failures (Lỗi Mật Mã)

Chuyển Một Vị Trí Lên Vị Trí Thứ 2, Trước Đây Được Gọi Là A3: 2017-Phơi Nhiễm Dữ Liệu Nhạy Cảm , Đây Là Một Triệu Chứng Rộng Hơn Là Nguyên Nhân Gốc Rễ. Tên Được Đổi Mới Tập Trung Vào Các Lỗi Liên Quan Đến Mật Mã Như Nó Đã Được Ngầm Hiểu Trước Đây. Danh Mục Này Thường Dẫn Đến Việc Lộ Dữ Liệu Nhạy Cảm Hoặc Xâm Phạm Hệ Thống.

A03: 2021- Injection (Chèn)

Trượt Xuống Vị Trí Thứ Ba. 94% Ứng Dụng Đã Được Thử Nghiệm Cho Một Số Hình Thức Tiêm Với Tỷ Lệ Mắc Tối Đa Là 19%, Tỷ Lệ Mắc Trung Bình Là 3,37% Và 33 CWE Được Ánh Xạ Vào Danh Mục Này Có Tỷ Lệ Xuất Hiện Nhiều Thứ Hai Trong Các Ứng Dụng Với 274k Lần Xuất Hiện. Cross-Site Scripting. Hiện Là Một Phần Của Danh Mục Này Trong Ấn Bản Này.

A04: 2021- Insecure Design (Thiết Kế Không An Toàn)

Là Một Danh Mục Mới Cho Năm 2021, Tập Trung Vào Các Rủi Ro Liên Quan Đến Sai Sót Thiết Kế. Nếu Chúng Ta Thực Sự Muốn “Đi Sang Trái” Với Tư Cách Là Một Ngành Công Nghiệp. Chúng Ta Cần Có Thêm Mô Hình Mối Đe Dọa, Các Nguyên Tắc Và Mẫu Thiết Kế An Toàn Cũng Như Các Kiến ​​Trúc Tham Chiếu. Theo Định Nghĩa, Một Thiết Kế Không An Toàn Không Thể Được Sửa Chữa Bằng Cách Triển Khai Hoàn Hảo. Các Biện Pháp Kiểm Soát Bảo Mật Cần Thiết Không Bao Giờ Được Tạo Ra Để Bảo Vệ Chống Lại Các Cuộc Tấn Công Cụ Thể.

A05: 2021- Security Misconfiguration (Cấu Hình Sai)

Di Chuyển Lên Từ # 6 Trong Phiên Bản Trước; 90% Ứng Dụng Đã Được Kiểm Tra Đối Với Một Số Dạng Cấu Hình Sai. Với Tỷ Lệ Xuất Hiện Trung Bình Là 4,5% Và Hơn 208 Nghìn Lần Xuất Hiện CWE Được Ánh Xạ Tới Loại Rủi Ro Này. Với Sự Thay Đổi Nhiều Hơn Trong Phần Mềm Có Cấu Hình Cao. Không Có Gì Ngạc Nhiên Khi Thấy Danh Mục Này Tăng Lên. Danh Mục Trước Đây Cho A4: 2017-Các Thực Thể Bên Ngoài XML (XXE) Hiện Là Một Phần Của Danh Mục Rủi Ro Này.

A06: 2021- Vulnerable And Outdated Components (Các Thành Phần Dễ Bị Tổn Thương Và Lỗi Thời)

Trước Đây Có Tiêu Đề Sử Dụng Các Thành Phần Có Lỗ Hổng Đã Biết. Và Đứng Thứ 2 Trong Cuộc Khảo Sát Cộng Đồng Top 10. Nhưng Cũng Có Đủ Dữ Liệu Để Lọt Vào Top 10 Thông Qua Phân Tích Dữ Liệu. Danh Mục Này Tăng Từ Vị Trí Thứ 9 Vào Năm 2017. Và Là Một Vấn Đề Đã Biết Mà Chúng Tôi Phải Vật Lộn Để Kiểm Tra Và Đánh Giá Rủi Ro. Đây Là Danh Mục Duy Nhất Không Có Bất Kỳ Lỗ Hổng Và Phơi Nhiễm Phổ Biến (CVE) Nào Được Ánh Xạ Tới Các CWE Được Bao Gồm. Do Đó, Trọng Số Tác Động Và Khai Thác Mặc Định Là 5,0 Được Tính Vào Điểm Của Chúng.

A07: 2021-Indentification And Authentication Failures (Lỗi Xác Thực Và Nhận Dạng)

Trước Đây Là Xác Thực Bị Hỏng. Và Đang Trượt Xuống Từ Vị Trí Thứ Hai Và Hiện Bao Gồm Các CWE Liên Quan Nhiều Hơn Đến Lỗi Nhận Dạng. Danh Mục Này Vẫn Là Một Phần Không Thể Thiếu Của Top 10. Nhưng Sự Sẵn Có Ngày Càng Tăng Của Các Khuôn Khổ Tiêu Chuẩn Hóa Dường Như Đang Giúp Ích.

A08: 2021-Software And Data Integrity Failures (Lỗi Toàn Vẹn Dữ Liệu Và Phần Mềm)

Là Một Danh Mục Mới Cho Năm 2021. Tập Trung Vào Việc Đưa Ra Các Giả Định Liên Quan Đến Cập Nhật Phần Mềm, Dữ Liệu Quan Trọng. Và Đường Ống CI / CD Mà Không Xác Minh Tính Toàn Vẹn. Một Trong Những Tác Động. Có Trọng Số Cao Nhất Từ ​​Dữ Liệu Hệ Thống Chấm Điểm Lỗ Hổng Phổ Biến. Và Mức Độ Phơi Nhiễm / Hệ Thống Chấm Điểm Lỗ Hổng Chung (CVE / CVSS) Được Ánh Xạ Tới 10 CWE Trong Danh Mục Này. A8: 2017-Hủy Đăng Ký Không An Toàn Hiện Là Một Phần Của Danh Mục Lớn Hơn Này.

A09: 2021-Security Logging And Monitoring Failures (Các Lỗi Theo Dõi Và Ghi Nhật Ký Bảo Mật)

Trước Đây Là A10: 2017-Theo Dõi Và Ghi Nhật Ký Không Đầy Đủ. Và Được Thêm Vào Từ Cuộc Khảo Sát Cộng Đồng Top 10 (# 3), Tăng Từ Vị Trí Thứ 10 Trước Đó. Danh Mục Này Được Mở Rộng Để Bao Gồm Nhiều Loại Lỗi Hơn, Khó Kiểm Tra. Và Không Được Trình Bày Tốt Trong Dữ Liệu CVE / CVSS. Tuy Nhiên, Các Lỗi Trong Danh Mục Này. Có Thể Ảnh Hưởng Trực Tiếp Đến Khả Năng Hiển Thị, Cảnh Báo Sự Cố Và Pháp Y.

A10: 2021- Server-Side Request Forgery (SSRF) (Yêu Cầu Phía Máy Chủ)

Được Thêm Vào Từ Cuộc Khảo Sát Cộng Đồng Top 10 (# 1). Dữ Liệu Cho Thấy Tỷ Lệ Xuất Hiện Tương Đối Thấp Với Phạm Vi Kiểm Tra Trên Trung Bình. Cùng Với Xếp Hạng Trên Trung Bình Cho Tiềm Năng Khai Thác Và Tác Động. Danh Mục Này Đại Diện Cho Tình Huống. Mà Các Thành Viên Cộng Đồng Bảo Mật Đang Cho Chúng Tôi Biết Điều Này Là Quan Trọng. Mặc Dù Nó Không Được Minh Họa Trong Dữ Liệu Tại Thời Điểm Này.

 

Chi tiết tham khảo https://owasp-org./Top10

Top 10 Lỗ Hổng Bảo Mật Phổ Biến Theo Tiêu Chuẩn OWASP