四年來首次更新:OWASP Top 10漏洞排名
最新排名中,訪問控制失效(Broken Access Control)從第五位上升到了第一位。
非營利基金會開放Web應(yīng)用安全項目(OWASP)發(fā)布了其2021年Top 10漏洞排名更新(初版),自2017年11月以來首次做出變更。
新列表凸顯出明顯的變化,包括訪問控制失效的急速躥升——從第五位升至第一位。該組織宣稱,對94%的應(yīng)用執(zhí)行了某種形式的訪問控制失效測試,“映射到訪問控制失效的34個CWE在應(yīng)用中的出現(xiàn)率高于其他任何類別。”
因為關(guān)系到敏感數(shù)據(jù)暴露和系統(tǒng)受損 ,加密失敗(Cryptographic Failure)也上升到了榜單第二位。注入(Injection)回落到第三位,但OWASP指出,94%的應(yīng)用都測試了某種形式的注入,注入類別中如今包括跨站腳本。
作為2021年的新類別,不安全設(shè)計(Insecure Design)一出場就高居第四位。安全配置錯誤(Security Misconfiguration)緊隨其后,相比2017年榜單上升了一位。
安全配置錯誤類別如今包括外部實體,榜單編撰者認(rèn)為,考慮到90%的應(yīng)用測試了某種形式的錯誤配置,而且轉(zhuǎn)向高度可配置軟件的趨勢不可逆,這一類別排名上升也就不足為奇了。
脆弱過時組件(Vulnerable and Outdated Component)在2017年的榜單中位列第九,但今年的排名直升三位,來到了第六位。
榜單編撰者指出:“該類別是唯一一個沒有任何CVE映射到所含CWE的類別,所以默認(rèn)的漏洞與影響權(quán)重計5.0分。”
識別與認(rèn)證失敗(Identification and Authentication Failure)此前稱為身份驗證失效(Broken Authentication),今年排名從第二位降到了第七位。OWASP解釋稱,這是因為標(biāo)準(zhǔn)化框架可用性增加有助于解決這一問題。
軟件和數(shù)據(jù)完整性故障(Software and Data Integrity Failure)是2021年新增的一個類別,主要關(guān)注缺乏完整性驗證情況下做出與軟件更新、關(guān)鍵數(shù)據(jù)和持續(xù)集成/持續(xù)交付(CI/CD)流水線相關(guān)的各種假設(shè)。
OWASP稱:“CVE/CVSS數(shù)據(jù)最高加權(quán)影響之一映射到該類別中的10個CWE。2017年的不安全反序列化(Insecure Deserialization)如今歸入了這一更大的類別。”
安全日志與監(jiān)測失敗(Security Logging and Monitoring Failure)在此前的榜單中排名墊底,但今年上升了一位,并擴展納入了其他類型的故障。雖然這些故障測試不易,但卻會“直接影響可見性、事件警報和取證。”
榜單上最后一位是服務(wù)器端請求偽造(Server-Side Request Forgery),其發(fā)生率“相對較低”,但業(yè)內(nèi)專家常提到這種類型。
OWASP表示,總的說來,今年新增了三種全新類型,有四種類型要么名字變了,要么范圍變了。十多年來,OWASP基于貢獻者提供的數(shù)據(jù)和行業(yè)調(diào)查結(jié)果不斷推出Top 10榜單。
“我們這么做的根本原因是,分析貢獻者提供的數(shù)據(jù)就是在審視過去。應(yīng)用安全研究人員花費時間查找新的漏洞和新的漏洞測試方法。將這些測試整合進工具與過程中需要時間。”
“到我們能夠可靠地大規(guī)模測試某個缺陷的時候,很可能早已走過了幾年時光。為平衡觀點,我們采用行業(yè)調(diào)查的方式詢問一線人員,了解他們眼中有哪些重要缺陷是數(shù)據(jù)可能沒有表現(xiàn)出來的。”
Ben Pick是nVisium高級應(yīng)用安全顧問,也是OWASP北弗吉尼亞分會領(lǐng)導(dǎo)人之一,他向媒體透露,OWASP Top 10無意用于合規(guī)目的,但常被當(dāng)作合規(guī)參考。
Pick解釋稱:“當(dāng)前列入其中的條目旨在推動業(yè)界了解數(shù)據(jù)貢獻公司所面臨的漏洞和漏洞利用的趨勢,尤其是可能沒有安全背景的那些公司。”
“基本上,這份鮮活的文檔符合我在各種評估中所觀察到的種種風(fēng)險,我會繼續(xù)使用該資源來了解新的威脅類型。OWASP Top 10仍處于初版階段,將隨著安全行業(yè)不斷審查其內(nèi)容而歷經(jīng)編輯與完善。
K2 Cyber Security首席技術(shù)官Jayant Shukla補充稱,OWASP并沒有直接刪除以往風(fēng)險,而是將現(xiàn)有風(fēng)險整合進數(shù)個類別并添加新的風(fēng)險,反映日益增加的各種Web應(yīng)用威脅。
Shukla指出,服務(wù)器端請求偽造攻擊和身份驗證問題越來越嚴(yán)峻的原因之一,是構(gòu)建應(yīng)用時用了越來越多的微服務(wù)。
“這些新風(fēng)險類別凸顯出安全左移和改善生產(chǎn)前測試的必要性。但遺憾的是,這些問題往往難以在測試中發(fā)現(xiàn),有時候只會在不同應(yīng)用模塊交互的時候曝出,所以就更難以檢測了。”
“事實上,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)已經(jīng)意識到了這些短板,去年更新了他們的SP800-53應(yīng)用安全框架,將運行時應(yīng)用自保護和交互應(yīng)用安全測試納入其中,從而更好地防范這些關(guān)鍵軟件缺陷。軟件開發(fā)行業(yè)是時候采用這些更加有效的技術(shù)了。”
OWASP Top 10:https://owasp.org/Top10/
