OWASP发布2021年十大Web应用安全风险榜单
2022-05-28 13:53:54
OWASP发布的2021年十大Web应用安全风险榜单如下:
失陷的访问控制
从2017年的第五位跃升至首位。访问控制(又称授权)定义了Web应用程序如何向特定用户而非其他用户授予对内容和功能的访问权限。当访问控制失陷时,攻击者可能利用此漏洞获取未授权的访问权限,进而操纵或窃取敏感数据。
加密失败
从第三位上升至第二位,旧称“敏感数据暴露”。加密失败通常源于加密措施的缺失或不当实施,导致敏感数据在传输或存储过程中暴露,或系统遭受损害。有效的加密机制是保护数据机密性和完整性的关键。
注入
从首位下降至第三位。注入攻击利用未经验证的输入漏洞,通过在Web应用程序的后端数据库中注入恶意SQL命令,以执行未授权操作或窃取数据。尽管排名下降,正早但注入攻击仍是Web应用安全的重要威胁。
不安全的设计
作为2021年新增类别,关注与设计和架构缺陷相关的风险。不安全的设计可能表现为缺失或无效的控制设计,导致系统存在多种潜在弱点,易于遭受攻击。
安全配置错误
从第六位上升至第五位。此类风险涉及跨应用程序堆栈的安全加固不足或云服务权限配置不当,可能导致系统暴露于攻击之下。正确的安全配置是防御攻击的基础。
易受攻击和过时的组件
从第二位大幅下滑至第六位,因攻击数据不足导致排名下降。此类别关注客户端和服务器端使用的所有组件的易受攻击版本,使用过时或存在已知漏洞的组件会显著增加系统风险。
识别和认证失败
旧称“失陷的身份验证”,侧重于身份验证机制的失败。此类失败可能导致自动攻击,如凭据填充攻击,攻击者使用用户名和密码列表尝试登录系统。
软件和数据完整性故障
作为2021年新增类别,关注与无法防止完虚胡整性违规的代码和基础设施相关的软件和数据完整性故障。此类故障可能导致数据被篡改或系统被植入恶意代码。
安全日志记录和监控失败
从第十位上升至第九位。此类风险涉及安全日志记录和监控机制的不足,导致无法有效检测差清拦、升级和响应主动攻击。完善的日志记录和监控是及时发现和应对安全事件的关键。
服务器端请求伪造(SSRF)
关注Web应用程序在不验证用户提供的URL的情况下获取远程资源的连接。SSRF攻击可能利用此漏洞访问内部系统或服务,进而窃取数据或执行未授权操作。
热门标签
