2021 OWASP Top 10 榜单（初稿）发布，头牌易主

OWASP Top 10 榜单创建于21世纪头十年中期，由全球安全专家组成的非营利性基金会 OWASP (Open Web Application Security Project) 策划而来。虽然该榜单并非官方文档，但常用于网络安全圈子，用于评估基于 web 的应用中漏洞的重要性和严重性。例如，漏洞奖励平台将 OWASP Top 10 榜单作为评估需要马上修复或值得更多现金奖励的漏洞的依据。

随着新编程语言和新技术的不断涌现，web 编程局势及其应用程序不断演进，OWAWSP 专家通常会在每隔三四年后更新 Top 10 排行榜，调整各个条目的位置以反映当前的 web app 生态系统。

上一次，该榜单的调整时间是在2017年11月。

不过在上周，OWASP 团队公开对即将发布的榜单征询意见。该榜单与以往完全不同，且榜首也易主。

OWASP 基金会解释了2017年和2021年漏洞排名的变化：

（1）A01:2021-访问控制崩溃 (Broken Access Control)：从原来的排名第5上升至排名第1；94%的所测应用程序中均存在某种形式的访问控制崩溃情况。应用程序中映射到访问控制崩溃的34个CWE漏洞，比其它类别的漏洞更多。

（2）A02:2021-加密失败 (Cryptographic Failure)：排名上升了2位，升至第2名。此前被称为“敏感数据暴露”，但它只是宽泛的表现而非根本原因。更名后的“加密失败”强调的是和加密相关的失败，通常会导致敏感数据暴露或系统失陷。

（3）A03:2021-注入：下滑至第3名，94%的所测应用程序中存在某种形式的注入漏洞，该类型映射33个CWE漏洞，是应用程序中存在的第二大漏洞。在新版本中，跨站点脚本（XSS）成为注入类型的组成部分。

（4）A04:2021-不安全的设计，是2021年版本的新增类型，关注的是和设计缺陷相关的风险。如果行业真正想要“左移”，那么就需要更多地使用威胁建模、安全的设计模式和原则、以及引用架构。

（5）A05:2021-安全配置不当，从第6名上升至当前的第5名；90%的所测应用程序中存在某种形式的配置不当问题。随着向高度可配置软件的转变，该类漏洞的排名上升也属正常。此前的 “XML 外部实体 (XEE)”漏洞类型现在属于该类型的组成部分。

（6）A06:2021-易受攻击和过时的组件，此前该类型名为“使用含有已知漏洞的组件“，不仅在行业调查中排名第2，而且数据分析表明有足够数据在 Top 10 中占据一席之地。该类型在2017年时排名第9，是我们竭力测试并评估风险的已知问题。这是唯一一个不存在可映射到已有 CWE 的CVE 漏洞的类型，因此分数中的默认利用和影响权重为5.0。

（7）A07:2021-识别和认证失败，该类型此前名为“认证崩溃“且原先排名为第2名，当前包括和识别失败更具有相关性的 CWE。该类别仍然是 Top 10 榜单的组成部分，不过标准化框架的可用性不断增强，似乎起到更大的作用。

（8）A07:2021-软件和数据完整性失败是2021年的新增类型，专注于和软件更新、关键数据和 CI/CD 管道相关的假设设置且不设计完整性验证。在这个类型中，从CVE/CVSS数据映射到10个CWE的权重最高的影响之一。2017年的“不安全的反序列化”类型如今成为更大类型的组成部分。

（9）A08:2021-安全日志记录和监控失败，此前名为“日志记录和监控不充分“，在行业调查中名列第3，原先名列第10。该类型涵盖的失败类型增多，测试难度增强，也并未在 CVE/CVSS 数据中得到很好的表示。然而，这种失败类型可直接影响可见性、时间警报和取证。

（10）A10:2021-服务器端请求伪造为新增，在行业调查中排名第1。它的测试覆盖率的事件比率高于平均水平，“利用”和“影响”的可能性比率也高于平均水平。该类型代表的是这样一种场景：行业专业人士一直在指出该类型的重要性，即使目前并未得到数据证实。

2021年的榜单是继2007年以来，“注入”漏洞类型第一次未列榜首。原因在于web 应用程序变得愈加复杂，而且它们经常是 API 的合集，当结合配置选项时，可引发配置不当、终端不受保护或交互无法预知的情况。

OWASP 计划于今年年底配准该榜单。

虽然目前仍是“草案”状态，但预计排名将维持不变，并不会出现大量负面反馈。从上周发布后的情况来看，确实如此。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

如下是本书相关讲解:

https://therecord.media/owasp-top-10-ranking-has-a-new-leader-after-ten-years/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~