分類
CISSP

OWASP Top 10 2021 介紹

Top 10 for 2021 有什麼新的變化?

這次在 OWASP Top 10 for 2021 有三個全新的分類,有四個分類有做名稱和範圍的修正,並有將一些類別做合併。

Mapping of the relationship between the Top 10 2017 and the new Top 10 2021

A01:2021-權限控制失效 從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別 權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現 的次數都高於其他的弱點類別。

A02:2021-加密機制失效 提升一名到第二名,在之前為 敏感資料外曝,在此定義下比 較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並 因此造成敏感性資料外洩或是系統被破壞。

A03:2021-注入式攻擊 下滑到第三名。94% 被測試的應用程式都有驗測到某種類別 注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現 的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。

A04:2021-不安全設計 這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。 如果我們真的希望讓整個產業”向左移動”*註一*,那我們必須進一步的往威脅建模,安全設計 模塊的觀念,和安全參考架構前進。

*註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題, 同 Shift Left Testing。*

A05:2021-安全設定缺陷 從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測 到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別 的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬 於這個類別。

A06:2021-危險或過舊的元件 在之前標題為 使用有已知弱點的元件。在本次版本中於業 界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第 九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被 對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。

A07:2021-認證及驗證機制失效 在之前標題為 錯誤的認證機制。在本次版本中油第二名 下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的 一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。

A08:2021-軟體及資料完整性失效 這是 2021 年版本全新的類別,並在軟體更新,機敏及 重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重 最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列 化現在被合併至此類別。

A09:2021-資安記錄及監控失效 在之前為不完整的紀錄及監控並納入在業界問卷中在本次 列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗 證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的 可視性,事件告警及鑑識。

A10:2021-伺服端請求偽造 這個類別是在業界問卷排名第一名,並在此版本內納入。由資料 顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是 因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個 問題。

資料來源:https://owasp.org/Top10/zh_TW/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。