当前位置：知了堂 > 技术干货新 > owasp十大web漏洞：owasp top 10详解

owasp十大web漏洞：owasp top 10详解

来源: 汇智知了堂 发布: 知了姐 发布时间: 2024-03-15

随着互联网的迅猛发展，Web应用已成为我们日常生活和工作中不可或缺的一部分。然而，Web应用的安全问题也日益凸显，其中OWASP Top 10更是成为众多安全专家关注的焦点。本文将对owasp十大web漏洞进行详解，帮助更好地了解并防范这些潜在的安全威胁。

OWASP Top 10是针对开发人员和Web应用程序安全的一份标准意识文件。它代表了关于Web应用程序最关键的安全风险的广泛共识。全球开发者公认这是迈向更安全编码的第一步。公司应该采用这份文件，并开始确保其Web应用最小化这些风险的过程。使用OWASP Top 10或许是改变组织内软件开发文化、生产更安全代码的最有效第一步。

Top 10 Web应用程序安全风险

2021年的Top 10中有三个新类别，四个类别有命名和范围变化，以及一些合并。

从A01-A10共10个类别的漏洞，以下为各类别说明：

A01:2021-损坏的访问控制从第五位上升；94%的应用程序被测试了某种形式的访问控制破坏。映射到损坏访问控制的34个常见弱点枚举（CWEs）在应用程序中的出现次数超过任何其他类别。
A02:2021-加密失败上升到第二位，之前称为敏感数据暴露，这是一个广泛的症状而不是根本原因。这里的重新关注点是与加密相关的失败，这通常会导致敏感数据暴露或系统妥协。
A03:2021-注入下降到第三位。94%的应用程序被测试了某种形式的注入，而映射到这个类别的33个CWEs在应用程序中有第二多的出现次数。跨站脚本现在在这个版本中成为这个类别的一部分。
A04:2021-不安全设计是2021年的新类别，重点关注与设计缺陷相关的风险。如果我们真的想要作为一个行业“向左移动”，它呼吁更多使用威胁建模、安全设计模式和原则，以及参考架构。
A05:2021-安全配置错误从上一版的第6位上升；90%的应用程序被测试了某种形式的配置错误。随着更多转向高度可配置的软件，看到这个类别上升并不奇怪。前一个类别XML外部实体（XXE）现在成为这个类别的一部分。
A06:2021-易受攻击和过时的组件之前称为使用已知漏洞的组件，在Top 10社区调查中排名#2，但也有足够的数据通过数据分析进入Top 10。这个类别从2017年的第9位上升，是一个我们难以测试和评估风险的已知问题。它是唯一一个没有将任何CVEs映射到包含CWEs的类别，因此默认利用和影响权重为5.0被计算进它们的得分。
A07:2021-身份识别和认证失败之前称为损坏的身份验证，从第二位下滑，现在包括更与身份识别失败相关的CWEs。这个类别仍然是Top 10的重要组成部分，但标准化框架的增加可用性似乎有所帮助。
A08:2021-软件和数据完整性失败是2021年的新类别，关注于在未验证完整性的情况下对软件更新、关键数据和CI/CD管道做出假设。来自CVE/CVSS数据映射到这个类别中10个CWEs的影响权重最高。2017年的不安全反序列化现在成为这个更大类别的一部分。
A09:2021-安全日志和监控失败之前称为不足的日志和监控，并根据行业调查（#3）新增，从之前的第10位上升。这个类别扩展到包括更多类型的失败，难以测试，并且在CVE/CVSS数据中代表性不强。然而，这个类别中的失败可以直接影响可见性、事件响应和取证。
A10:2021-服务器端请求伪造根据Top 10社区调查新增（#1）。数据显示相对较低的发生率和高于平均水平的测试覆盖率，以及高于平均的利用和影响潜力评级。这个类别代表了安全社区成员告诉我们这很重要的情况，尽管目前数据中并未显示。

注：本文部分内容以及图片来源于网络，如网站发布的有关的信息侵犯到您的权益，请及时与我们取得联系删除

上一篇：攻防渗透信息收集方法与工具：深度解析域名信息收集下一篇：鸿蒙开发就业前景：智能时代的新蓝海，你准备好了吗？

owasp十大web漏洞：owasp top 10详解

Java开发

网络安全培训

鸿蒙认证

常见问题