OWASP(Open Web Application Security Project)翻译为“开放式Web应用程序安全项目”。它是一个非营利组织,致力于提高Web应用程序的安全性。OWASP提供了一系列资源,包括安全指南、工具和教程,帮助开发人员和安全专业人员提高Web应用程序的安全性。

OWASP Top 10是OWASP发布的一份针对Web应用程序的安全漏洞报告。该报告列出了Web应用程序中最常见和最危险的10种安全漏洞。OWASP Top 10可以帮助开发人员和安全专业人员识别和修复Web应用程序中的安全漏洞。

OWASP Top 10 2021

源网址:OWASP Top 10 2021

排名 漏洞名称 简介 例子
A01 权限控制失效(Broken Access Control) Web应用程序无法正确控制用户对资源的访问。这可能导致攻击者访问他们不应该能够访问的数据或功能。 一个Web应用程序允许用户上传文件。攻击者可以上传一个恶意脚本文件,该文件将在用户访问该文件时执行。
A02 加密机制失效(Cryptographic Failures) Web应用程序未能正确使用加密技术保护敏感数据。这可能导致攻击者窃取或篡改敏感数据。 一个Web应用程序使用弱密码对数据进行加密。攻击者可以利用该漏洞破解密码,访问加密的数据。
A03 注入式攻击(Injection) 攻击者将恶意代码注入到Web应用程序中。这可能导致攻击者执行任意代码、窃取数据或破坏应用程序。 一个Web应用程序允许用户输入数据来更新其信息。攻击者可以输入恶意代码,在更新用户信息时执行该代码。
A04 不安全设计(Insecure Design) Web应用程序的设计存在安全缺陷。这可能导致攻击者绕过安全控制,访问不应该能够访问的数据或功能。 一个Web应用程序使用脆弱的设计模式。攻击者可以利用该漏洞绕过安全控制,访问敏感数据。
A05 安全设置缺陷(Security Misconfiguration) Web应用程序的安全设置不正确。这可能导致攻击者绕过安全控制,访问不应该能够访问的数据或功能。 一个Web应用程序的默认安全设置过于宽松。攻击者可以利用该漏洞访问敏感数据。
A06 危险或过旧的组件(Vulnerable and Outdated Components) Web应用程序使用了存在安全漏洞的组件。这可能导致攻击者利用这些漏洞攻击应用程序。 一个Web应用程序使用了存在安全漏洞的第三方组件。攻击者可以利用该漏洞攻击应用程序。
A07 认证及验证机制失效(Identification and Authentication Failures) Web应用程序的认证和会话管理机制存在安全缺陷。这可能导致攻击者绕过身份验证,访问不应该能够访问的数据或功能。 一个Web应用程序的认证机制存在缺陷,攻击者可以利用该漏洞绕过身份验证,访问敏感数据。
A08 软件及资料完整性失效(Software and Data Integrity Failures) Web应用程序未能正确保护其软件和数据的完整性。这可能导致攻击者篡改软件或数据,导致应用程序崩溃或数据丢失。 一个Web应用程序未能正确验证更新包的完整性。攻击者可以利用该漏洞植入恶意代码到更新包中,在应用程序安装更新包时执行该代码。
A09 安全记录及监控失效(Security Logging and Monitoring Failures) 安全人员可能无法有效分析攻击事件,从而延迟或阻碍攻击的发现和响应。例如,日志记录可能缺少关键信息,或者使用不标准的格式。 一个 Web 应用程序允许用户上传文件。攻击者可以上传一个恶意脚本文件,该文件将在用户访问该文件时执行。如果应用程序未记录用户是否有权上传文件,则攻击者可以上传任何文件,包括恶意脚本文件。
A10 服务器端请求伪造(Server-Side Request Forgery,SSRF) 攻击者利用Web应用程序将请求发送到非预期或不安全的目标。这可能导致攻击者访问敏感数据或执行任意代码。 一个Web应用程序允许用户输入URL来查看其他网站的内容。攻击者可以输入恶意URL,将请求发送到非预期的目标,访问敏感数据或执行任意代码。

防范措施

企业应采取措施防范OWASP Top 10漏洞,保护其系统和数据安全。以下是一些建议:

  • 使用安全开发生命周期(SDLC)来开发和维护Web应用程序。
  • 使用安全测试工具和方法来识别和修复漏洞。
  • 定期更新Web应用程序的软件和组件。
  • 实施安全策略和控制,以保护Web应用程序免受攻击。

变化

最新版的OWASP Top 10漏洞排名是2021年发布的,与2017年的排名相比有三个全新的分类,有四个分类有做名称和范围的修正,并有将一些类别做合并
其中:

  • 访问控制失效(A01)从第五位上升到了第一位。
  • 服务器端请求伪造(A10)首次进入榜单。
    在这里插入图片描述