[[432740]]

最新排名中，訪問控制失效(Broken Access Control)從第五位上升到了第一位。

非營利基金會開放Web應(yīng)用安全項(xiàng)目(OWASP)發(fā)布了其2021年Top 10漏洞排名更新(初版)，自2017年11月以來首次做出變更。

新列表凸顯出明顯的變化，包括訪問控制失效的急速躥升——從第五位升至第一位。該組織宣稱，對94%的應(yīng)用執(zhí)行了某種形式的訪問控制失效測試，“映射到訪問控制失效的34個(gè)CWE在應(yīng)用中的出現(xiàn)率高于其他任何類別。”

因?yàn)殛P(guān)系到敏感數(shù)據(jù)暴露和系統(tǒng)受損 ，加密失敗(Cryptographic Failure)也上升到了榜單第二位。注入(Injection)回落到第三位，但OWASP指出，94%的應(yīng)用都測試了某種形式的注入，注入類別中如今包括跨站腳本。

作為2021年的新類別，不安全設(shè)計(jì)(Insecure Design)一出場就高居第四位。安全配置錯(cuò)誤(Security Misconfiguration)緊隨其后，相比2017年榜單上升了一位。

安全配置錯(cuò)誤類別如今包括外部實(shí)體，榜單編撰者認(rèn)為，考慮到90%的應(yīng)用測試了某種形式的錯(cuò)誤配置，而且轉(zhuǎn)向高度可配置軟件的趨勢不可逆，這一類別排名上升也就不足為奇了。

脆弱過時(shí)組件(Vulnerable and Outdated Component)在2017年的榜單中位列第九，但今年的排名直升三位，來到了第六位。

榜單編撰者指出：“該類別是唯一一個(gè)沒有任何CVE映射到所含CWE的類別，所以默認(rèn)的漏洞與影響權(quán)重計(jì)5.0分。”

識別與認(rèn)證失敗(Identification and Authentication Failure)此前稱為身份驗(yàn)證失效(Broken Authentication)，今年排名從第二位降到了第七位。OWASP解釋稱，這是因?yàn)闃?biāo)準(zhǔn)化框架可用性增加有助于解決這一問題。

軟件和數(shù)據(jù)完整性故障(Software and Data Integrity Failure)是2021年新增的一個(gè)類別，主要關(guān)注缺乏完整性驗(yàn)證情況下做出與軟件更新、關(guān)鍵數(shù)據(jù)和持續(xù)集成/持續(xù)交付(CI/CD)流水線相關(guān)的各種假設(shè)。

OWASP稱：“CVE/CVSS數(shù)據(jù)最高加權(quán)影響之一映射到該類別中的10個(gè)CWE。2017年的不安全反序列化(Insecure Deserialization)如今歸入了這一更大的類別。”

安全日志與監(jiān)測失敗(Security Logging and Monitoring Failure)在此前的榜單中排名墊底，但今年上升了一位，并擴(kuò)展納入了其他類型的故障。雖然這些故障測試不易，但卻會“直接影響可見性、事件警報(bào)和取證。”

榜單上最后一位是服務(wù)器端請求偽造(Server-Side Request Forgery)，其發(fā)生率“相對較低”，但業(yè)內(nèi)專家常提到這種類型。

OWASP表示，總的說來，今年新增了三種全新類型，有四種類型要么名字變了，要么范圍變了。十多年來，OWASP基于貢獻(xiàn)者提供的數(shù)據(jù)和行業(yè)調(diào)查結(jié)果不斷推出Top 10榜單。

“我們這么做的根本原因是，分析貢獻(xiàn)者提供的數(shù)據(jù)就是在審視過去。應(yīng)用安全研究人員花費(fèi)時(shí)間查找新的漏洞和新的漏洞測試方法。將這些測試整合進(jìn)工具與過程中需要時(shí)間。”

“到我們能夠可靠地大規(guī)模測試某個(gè)缺陷的時(shí)候，很可能早已走過了幾年時(shí)光。為平衡觀點(diǎn)，我們采用行業(yè)調(diào)查的方式詢問一線人員，了解他們眼中有哪些重要缺陷是數(shù)據(jù)可能沒有表現(xiàn)出來的。”

Ben Pick是nVisium高級應(yīng)用安全顧問，也是OWASP北弗吉尼亞分會領(lǐng)導(dǎo)人之一，他向媒體透露，OWASP Top 10無意用于合規(guī)目的，但常被當(dāng)作合規(guī)參考。

Pick解釋稱：“當(dāng)前列入其中的條目旨在推動(dòng)業(yè)界了解數(shù)據(jù)貢獻(xiàn)公司所面臨的漏洞和漏洞利用的趨勢，尤其是可能沒有安全背景的那些公司。”

“基本上，這份鮮活的文檔符合我在各種評估中所觀察到的種種風(fēng)險(xiǎn)，我會繼續(xù)使用該資源來了解新的威脅類型。OWASP Top 10仍處于初版階段，將隨著安全行業(yè)不斷審查其內(nèi)容而歷經(jīng)編輯與完善。

K2 Cyber Security首席技術(shù)官Jayant Shukla補(bǔ)充稱，OWASP并沒有直接刪除以往風(fēng)險(xiǎn)，而是將現(xiàn)有風(fēng)險(xiǎn)整合進(jìn)數(shù)個(gè)類別并添加新的風(fēng)險(xiǎn)，反映日益增加的各種Web應(yīng)用威脅。

Shukla指出，服務(wù)器端請求偽造攻擊和身份驗(yàn)證問題越來越嚴(yán)峻的原因之一，是構(gòu)建應(yīng)用時(shí)用了越來越多的微服務(wù)。

“這些新風(fēng)險(xiǎn)類別凸顯出安全左移和改善生產(chǎn)前測試的必要性。但遺憾的是，這些問題往往難以在測試中發(fā)現(xiàn)，有時(shí)候只會在不同應(yīng)用模塊交互的時(shí)候曝出，所以就更難以檢測了。”

“事實(shí)上，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)已經(jīng)意識到了這些短板，去年更新了他們的SP800-53應(yīng)用安全框架，將運(yùn)行時(shí)應(yīng)用自保護(hù)和交互應(yīng)用安全測試納入其中，從而更好地防范這些關(guān)鍵軟件缺陷。軟件開發(fā)行業(yè)是時(shí)候采用這些更加有效的技術(shù)了。”

OWASP Top 10：https://owasp.org/Top10/