OWASP發(fā)布2021版本的Top 10安全漏洞。

　　非營利性組織Open Web Application Security Project （OWASP）發(fā)布2021版的Top 10安全漏洞初稿，這是自2017年11月發(fā)布OWASP Top 10 2017后的第一個修改。

　　OWASP Top 10 2017和新OWASP Top 10 2021的映射關系

　　A01:2021-Broken Access Control失效的訪問控制

　　這一項排名躍升到第5位，測試發(fā)現(xiàn)有94%的應用存在失效的訪問控制。失效的訪問控制漏洞中有34個擁有CVE編號，比其他漏洞出現(xiàn)的概率要高。

　　A02:2021-Cryptographic Failures加密失效

　　加密失效排名上身到第二位，2017年版本中的名字為敏感數(shù)據(jù)泄露。新命名的關注點是與加密相關的失效引發(fā)的敏感數(shù)據(jù)泄露或系統(tǒng)破壞。

　　A03:2021-Injection注入

　　注入的排名下降到第3位。測試發(fā)現(xiàn)有94%的應用存在注入漏洞，注入漏洞中有33個擁有CVE編號，該漏洞在應用中出現(xiàn)的概率排名第二，跨站腳本攻擊也被歸類到注入漏洞。

　　A04:2021-Insecure Design不安全的設計

　　不安全的設計是2021年版本的新種類，主要關于與設計漏洞相關的風險。

　　A05:2021-Security Misconfiguration安全錯誤配置

　　安全錯誤配置排名從2017年的第6提升到第5。測試發(fā)現(xiàn)有90%的應用存在不同形式的錯誤配置。隨著軟件變得越來越高度可配置化，毫無疑問這類安全漏洞會越來越多。之前版本的XML外部實體（XXE）漏洞也屬于本種類。

　　A06:2021-Vulnerable and Outdated Components有漏洞和過期的組件

　　有漏洞和過期的組件之前叫做使用有漏洞的組件。2017年版本的排名為第9，今年上升到第6。這也是唯一一類沒有對應CVE編號漏洞的種類，所以默認漏洞利用和影響權重為5.0。

　　A07:2021-Identification and Authentication Failures 身份和認證失效

　　識別和認證失效在2017年版本中叫做認證失效，從排名第2位下降到第7位。相關的CVE漏洞主要與身份失效有關。

　　A08:2021-Software and Data Integrity Failures 軟件和數(shù)據(jù)完整性失效

　　軟件和數(shù)據(jù)完整性失效是2021年版本中的新種類，主要關注軟件更新、關鍵數(shù)據(jù)、沒有驗證完整性的CI/CD管道相關的安全問題。2017年版本中不安全的反序列化也屬于該大類。

　　A09:2021-Security Logging and Monitoring Failures 安全日志和監(jiān)控失效

　　安全日志和監(jiān)控失效在2017年版本中叫做不充足的日志和監(jiān)控，排名也從第10上升到了第9。這類漏洞在2017年版本上擴展了許多類型的漏洞。這類漏洞會直接影響可見性、應急預警和取證等。

　　A10:2021-Server-Side Request Forgery 服務端請求偽造

　　服務器請求偽造在測試過程中出現(xiàn)的概率很低。