[[432740]]

最新排名中，訪問(wèn)控制失效(Broken Access Control)從第五位上升到了第一位。

非營(yíng)利基金會(huì)開(kāi)放Web應(yīng)用安全項(xiàng)目(OWASP)發(fā)布了其2021年Top 10漏洞排名更新(初版)，自2017年11月以來(lái)首次做出變更。

新列表凸顯出明顯的變化，包括訪問(wèn)控制失效的急速躥升——從第五位升至第一位。該組織宣稱，對(duì)94%的應(yīng)用執(zhí)行了某種形式的訪問(wèn)控制失效測(cè)試，“映射到訪問(wèn)控制失效的34個(gè)CWE在應(yīng)用中的出現(xiàn)率高于其他任何類別。”

因?yàn)殛P(guān)系到敏感數(shù)據(jù)暴露和系統(tǒng)受損 ，加密失敗(Cryptographic Failure)也上升到了榜單第二位。注入(Injection)回落到第三位，但OWASP指出，94%的應(yīng)用都測(cè)試了某種形式的注入，注入類別中如今包括跨站腳本。

作為2021年的新類別，不安全設(shè)計(jì)(Insecure Design)一出場(chǎng)就高居第四位。安全配置錯(cuò)誤(Security Misconfiguration)緊隨其后，相比2017年榜單上升了一位。

安全配置錯(cuò)誤類別如今包括外部實(shí)體，榜單編撰者認(rèn)為，考慮到90%的應(yīng)用測(cè)試了某種形式的錯(cuò)誤配置，而且轉(zhuǎn)向高度可配置軟件的趨勢(shì)不可逆，這一類別排名上升也就不足為奇了。

脆弱過(guò)時(shí)組件(Vulnerable and Outdated Component)在2017年的榜單中位列第九，但今年的排名直升三位，來(lái)到了第六位。

榜單編撰者指出：“該類別是唯一一個(gè)沒(méi)有任何CVE映射到所含CWE的類別，所以默認(rèn)的漏洞與影響權(quán)重計(jì)5.0分。”

識(shí)別與認(rèn)證失敗(Identification and Authentication Failure)此前稱為身份驗(yàn)證失效(Broken Authentication)，今年排名從第二位降到了第七位。OWASP解釋稱，這是因?yàn)闃?biāo)準(zhǔn)化框架可用性增加有助于解決這一問(wèn)題。

軟件和數(shù)據(jù)完整性故障(Software and Data Integrity Failure)是2021年新增的一個(gè)類別，主要關(guān)注缺乏完整性驗(yàn)證情況下做出與軟件更新、關(guān)鍵數(shù)據(jù)和持續(xù)集成/持續(xù)交付(CI/CD)流水線相關(guān)的各種假設(shè)。

OWASP稱：“CVE/CVSS數(shù)據(jù)最高加權(quán)影響之一映射到該類別中的10個(gè)CWE。2017年的不安全反序列化(Insecure Deserialization)如今歸入了這一更大的類別。”

安全日志與監(jiān)測(cè)失敗(Security Logging and Monitoring Failure)在此前的榜單中排名墊底，但今年上升了一位，并擴(kuò)展納入了其他類型的故障。雖然這些故障測(cè)試不易，但卻會(huì)“直接影響可見(jiàn)性、事件警報(bào)和取證。”

榜單上最后一位是服務(wù)器端請(qǐng)求偽造(Server-Side Request Forgery)，其發(fā)生率“相對(duì)較低”，但業(yè)內(nèi)專家常提到這種類型。

OWASP表示，總的說(shuō)來(lái)，今年新增了三種全新類型，有四種類型要么名字變了，要么范圍變了。十多年來(lái)，OWASP基于貢獻(xiàn)者提供的數(shù)據(jù)和行業(yè)調(diào)查結(jié)果不斷推出Top 10榜單。

“我們這么做的根本原因是，分析貢獻(xiàn)者提供的數(shù)據(jù)就是在審視過(guò)去。應(yīng)用安全研究人員花費(fèi)時(shí)間查找新的漏洞和新的漏洞測(cè)試方法。將這些測(cè)試整合進(jìn)工具與過(guò)程中需要時(shí)間。”

“到我們能夠可靠地大規(guī)模測(cè)試某個(gè)缺陷的時(shí)候，很可能早已走過(guò)了幾年時(shí)光。為平衡觀點(diǎn)，我們采用行業(yè)調(diào)查的方式詢問(wèn)一線人員，了解他們眼中有哪些重要缺陷是數(shù)據(jù)可能沒(méi)有表現(xiàn)出來(lái)的。”

Ben Pick是nVisium高級(jí)應(yīng)用安全顧問(wèn)，也是OWASP北弗吉尼亞分會(huì)領(lǐng)導(dǎo)人之一，他向媒體透露，OWASP Top 10無(wú)意用于合規(guī)目的，但常被當(dāng)作合規(guī)參考。

Pick解釋稱：“當(dāng)前列入其中的條目旨在推動(dòng)業(yè)界了解數(shù)據(jù)貢獻(xiàn)公司所面臨的漏洞和漏洞利用的趨勢(shì)，尤其是可能沒(méi)有安全背景的那些公司。”

“基本上，這份鮮活的文檔符合我在各種評(píng)估中所觀察到的種種風(fēng)險(xiǎn)，我會(huì)繼續(xù)使用該資源來(lái)了解新的威脅類型。OWASP Top 10仍處于初版階段，將隨著安全行業(yè)不斷審查其內(nèi)容而歷經(jīng)編輯與完善。

K2 Cyber Security首席技術(shù)官Jayant Shukla補(bǔ)充稱，OWASP并沒(méi)有直接刪除以往風(fēng)險(xiǎn)，而是將現(xiàn)有風(fēng)險(xiǎn)整合進(jìn)數(shù)個(gè)類別并添加新的風(fēng)險(xiǎn)，反映日益增加的各種Web應(yīng)用威脅。

Shukla指出，服務(wù)器端請(qǐng)求偽造攻擊和身份驗(yàn)證問(wèn)題越來(lái)越嚴(yán)峻的原因之一，是構(gòu)建應(yīng)用時(shí)用了越來(lái)越多的微服務(wù)。

“這些新風(fēng)險(xiǎn)類別凸顯出安全左移和改善生產(chǎn)前測(cè)試的必要性。但遺憾的是，這些問(wèn)題往往難以在測(cè)試中發(fā)現(xiàn)，有時(shí)候只會(huì)在不同應(yīng)用模塊交互的時(shí)候曝出，所以就更難以檢測(cè)了。”

“事實(shí)上，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)已經(jīng)意識(shí)到了這些短板，去年更新了他們的SP800-53應(yīng)用安全框架，將運(yùn)行時(shí)應(yīng)用自保護(hù)和交互應(yīng)用安全測(cè)試納入其中，從而更好地防范這些關(guān)鍵軟件缺陷。軟件開(kāi)發(fā)行業(yè)是時(shí)候采用這些更加有效的技術(shù)了。”

OWASP Top 10：https://owasp.org/Top10/