Top 10 for 2021 有什麼新的變化?
這次在 OWASP Top 10 for 2021 有三個全新的分類,有四個分類有做名稱和範圍的修正,並有將一些類別做合併。

A01:2021-權限控制失效 從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別 權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現 的次數都高於其他的弱點類別。
A02:2021-加密機制失效 提升一名到第二名,在之前為 敏感資料外曝,在此定義下比 較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並 因此造成敏感性資料外洩或是系統被破壞。
A03:2021-注入式攻擊 下滑到第三名。94% 被測試的應用程式都有驗測到某種類別 注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現 的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。
A04:2021-不安全設計 這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。 如果我們真的希望讓整個產業”向左移動”*註一*,那我們必須進一步的往威脅建模,安全設計 模塊的觀念,和安全參考架構前進。
*註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題, 同 Shift Left Testing。*
A05:2021-安全設定缺陷 從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測 到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別 的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬 於這個類別。
A06:2021-危險或過舊的元件 在之前標題為 使用有已知弱點的元件。在本次版本中於業 界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第 九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被 對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。
A07:2021-認證及驗證機制失效 在之前標題為 錯誤的認證機制。在本次版本中油第二名 下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的 一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。
A08:2021-軟體及資料完整性失效 這是 2021 年版本全新的類別,並在軟體更新,機敏及 重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重 最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列 化現在被合併至此類別。
A09:2021-資安記錄及監控失效 在之前為不完整的紀錄及監控並納入在業界問卷中在本次 列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗 證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的 可視性,事件告警及鑑識。
A10:2021-伺服端請求偽造 這個類別是在業界問卷排名第一名,並在此版本內納入。由資料 顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是 因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個 問題。
資料來源:https://owasp.org/Top10/zh_TW/