OWASP Top 10 2021初稿发布

OWASP发布2021版本的Top 10安全漏洞。

非营利性组织Open Web Application Security Project (OWASP)发布2021版的Top 10安全漏洞初稿，这是自2017年11月发布OWASP Top 10 2017后的第一个修改。

OWASP Top 10 2017和新OWASP Top 10 2021的映射关系

◼A01:2021-Broken Access Control失效的访问控制

这一项排名跃升到第5位，测试发现有94%的应用存在失效的访问控制。失效的访问控制漏洞中有34个拥有CVE编号，比其他漏洞出现的概率要高。

◼A02:2021-Cryptographic Failures加密失效

加密失效排名上身到第二位，2017年版本中的名字为敏感数据泄露。新命名的关注点是与加密相关的失效引发的敏感数据泄露或系统破坏。

◼A03:2021-Injection注入

注入的排名下降到第3位。测试发现有94%的应用存在注入漏洞，注入漏洞中有33个拥有CVE编号，该漏洞在应用中出现的概率排名第二，跨站脚本攻击也被归类到注入漏洞。

◼A04:2021-Insecure Design不安全的设计

不安全的设计是2021年版本的新种类，主要关于与设计漏洞相关的风险。

◼A05:2021-Security Misconfiguration安全错误配置

安全错误配置排名从2017年的第6提升到第5。测试发现有90%的应用存在不同形式的错误配置。随着软件变得越来越高度可配置化，毫无疑问这类安全漏洞会越来越多。之前版本的XML外部实体（XXE）漏洞也属于本种类。

◼A06:2021-Vulnerable and Outdated Components有漏洞和过期的组件

有漏洞和过期的组件之前叫做使用有漏洞的组件。2017年版本的排名为第9，今年上升到第6。这也是唯一一类没有对应CVE编号漏洞的种类，所以默认漏洞利用和影响权重为5.0。

◼A07:2021-Identification and Authentication Failures 身份和认证失效

识别和认证失效在2017年版本中叫做认证失效，从排名第2位下降到第7位。相关的CVE漏洞主要与身份失效有关。

◼A08:2021-Software and Data Integrity Failures 软件和数据完整性失效

软件和数据完整性失效是2021年版本中的新种类，主要关注软件更新、关键数据、没有验证完整性的CI/CD管道相关的安全问题。2017年版本中不安全的反序列化也属于该大类。

◼A09:2021-Security Logging and Monitoring Failures 安全日志和监控失效

安全日志和监控失效在2017年版本中叫做不充足的日志和监控，排名也从第10上升到了第9。这类漏洞在2017年版本上扩展了许多类型的漏洞。这类漏洞会直接影响可见性、应急预警和取证等。

◼A10:2021-Server-Side Request Forgery 服务端请求伪造

服务器请求伪造在测试过程中出现的概率很低。