网站流量查询网站,学校响应式网站模板,网站建设 网站开发 区别,企业管理咨询公司简介A01:2021-权限控制失效 从第五位上升到第一位#xff0c;94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试#xff0c;该事件的 平均发生率为 3.81%#xff0c;该漏洞在提供的数据集中出现漏洞的应用数量最多#xff0c;总发生漏洞应用数量超过31.8万多 次。 …A01:2021-权限控制失效 从第五位上升到第一位94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试该事件的 平均发生率为 3.81%该漏洞在提供的数据集中出现漏洞的应用数量最多总发生漏洞应用数量超过31.8万多 次。 如用户在访问账户信息的SQL时调用了未经验证的数据攻击者只要修改它的参数就能访问任何用户如果用户发生了平行越权或垂直越权这也是一种权限控制失效漏洞。
A02:2021-加密机制失效 上升一位到第二名以前称为“敏感数据泄漏”。“敏感数据泄漏”更像是一种常见的表象问题而不是根 本原因这项风险重点是与加密机制相关的故障或缺乏加密机制。 这往往会导致敏感数据泄漏。 攻击者通过检测网络流量将HTTPS协议降级到HTTP然后就能拦截到用户的cookie
A03:2021-注入 注入降至第三。94%的统计应用针对某种形式的注入进行了测试最大发生率为19%平均发生 率为3%共计发生了27.4万次。值得注意的常见弱点枚举CWE包括CWE-79 Cross-site Scripting跨站点脚本、CWE-89SQL InjectionSQL注入和CWE-73External Control of File Name or Path文件名或路径的外部控制。 注入类攻击是十分广泛存在的攻击手段如cookie注入、SQL注入和反射型XSS、储存型XSS等恶意代码在网站或数据库中的注入是常见的攻击手段
A04:2021-不安全设计 不安全设计是一个广泛的类别代表不同的弱点表示为“缺少或无效的控制设计”。不安全设计 不是所有其他前10个风险类别的来源。不安全设计和不安全的实现之间存在差异。我们区分设计缺陷和 实现缺陷是有原因的它们有不同的根本原因和补救措施。安全设计仍然可能存在实现缺陷从而导致 可能被利用的漏洞。一个不安全设计不能通过一个完美的实现来修复因为根据定义所需的安全控制 从未被创建来抵御特定的攻击。导致不安全设计的因素之一是开发的软件或系统中缺乏固有的业务风险 分析因此无法确定需要何种级别的安全设计。 不安全设计一般是开发中存在的漏洞它是一个广泛的类别并不具体。
A05:2021-安全配置错误 您的应用程序可能受到攻击如果应用程序是 应用程序栈的任何部分缺少适当的安全加固或者云服务的权限配置错误。 应用程序启用或安装了不必要的功能例如不必要的端口、服务、网页、帐户或权限。 默认帐户和密码仍然可用且没有更改。 错误处理机制向用户纰漏堆栈信息或其他大量错误信息。 对于升级的系统最新的安全特性被禁用或未安全配置。 系统的安全配置错误也是一个漏洞比如密码的四分之三原则配置没有开启导致密码设置过于简单这需要安全检查来维护。
A06:2021-自带缺陷或过时的组件 如果满足下面的某个条件那么您的应用就易受此类攻击 如果您不知道所有使用的组件版本信息包括服务端和客户端。这包括了直接使用的组件或间 接依赖的组件。软件易受攻击不再支持或者过时。这包括系统、Web服务器、应用程序服务器、数据库 管理系统DBMS、应用程序、API和所有的组件、运行环境和库。如果您没有定期做漏洞扫描和订阅使用组件的安全公告。如果您不基于风险及时修复或升级底层平台、框架和依赖库。很可能发生这种情况根据变更控制 每月或每季度进行升级这使得组织在这段时间内会受到已修复但未修补的漏洞的威胁。如果软件工程师没有对更新的、升级的或打过补丁的组件进行兼容性测试。如果您没有对组件进行安全配置参见“A05:2021–安全配置错误”) 使用的组件可能存在缺陷和自带后门或者平台、框架过旧没有进行维护和升级那么就容易被攻击。
A07:2021-身份识别和身份验证错误 在 URL 中泄露会话(Session) ID 。比方说,一段 URL 中有 Session 值,被攻击者监听到了就很容易利用 Session 进行水平越权处理。 登录了没有转换会话(Session) ID 。 没有及时的注销会话(Session) ID ,用户的会话(Session)或者认证token(主要的单一登入认证)没有在登出或者一段时间没活动时被注销。 该漏洞指如果身份识别错误cookie、session容易被攻击者捕捉到然后被水平越权。
A08:2021-软件及数据完整性故障 软件和数据完整性故障与无法防止违反完整性的代码和基础设施有关。这方面的一个例子是 应用程序依赖于不受信任的源、存储库和内容分发网络CDN的插件、库或模块。不安全的 CI/CD管道可能会带来未经授权的访问、恶意代码或系统安全风险。 最后许多应用程序现在包括 自动更新功能。其中更新包在没有进行充足完整性验证的情况下被下载并应用于以前受信任的 应用程序。攻击者可能会上传自己的更新包以便在所有安装上分发和运行。另一个例子是对象 或数据被编码或序列化为攻击者可以看到和修改的结构很容易受到不安全的反序列化的影响。 应用程序如果依赖于未知的、不受信任的源容易造成漏洞此外如果更新包在没有完整性验证的情况下被下载用被以前的应用程序使用也会容易被攻击。
不安全的反序列化也属于此类。
A09:2021-安全日志及监控故障 安全日志和监控故障来自于Top 10的社区调查排名第3位比2017年OWASP Top 10社区 调查时的第10位略有上升。日志记录和监控是一项具有挑战性的测试通常涉及访谈或询问渗透测 试期间是否检测到攻击。这个类别的CVE/CVSS数据不多但检测和应对违规行为是至关重要的。同 时它对问责制、可见性、事件告警和取证仍有很大的影响。 如需要审计的事件例如登录、失败的登录和高价值交易但未记录。 日志只存储在本地。 安全日志的要求需要保存6个月如果未达到标准时间就属于安全日志和监控故障并且安全日志中未检测重要数据或者安全日志的加密等级不够。
A10:2021-服务器端请求伪造 一旦Web应用在获取远程资源时没有验证用户提供的URL就会出现SSRF缺陷。 它允许攻击 者强制应用程序发送一个精心构建的请求到一个意外目的地即使是在有防火墙、VPN或其他类型 的网络访问控制列表ACL保护的情况下。 随着现代Web应用为终端用户提供便利的功能获取URL成为一种常见的场景。因此SSRF安 全攻击事件也在不断增加。此外由于云服务和架构的复杂性SSRF的严重性也越来越高。 通俗来讲有两个网站 A网站所有人都可以访问的外网网站 B网站只能内部访问的网站 A网站能访问B网站 所以作为普通用户我们可以访问A网站然后篡改获取资源的来源请求从B网站获取资源。A网站没有检测我的请求合不合法以自己A网站的身份去访问B网站于是我们就有机会攻击B网站。 服务器请求伪造是通过访问所有人都能访问的外网网站然后通过它的身份去访问内网网站这就是服务器请求伪造。
