OWASP Top 10 2021

1. 访问控制失效 (A01:2021)。

以前排名第 5 的“访问控制失效”（允许攻击者访问用户帐户的弱点）在 2021 年上升到了第 1 位。在此类情况下，攻击者可以充当系统中的用户或管理员。

示例：应用程序允许更改主密钥，当此密钥更改为另一用户的记录时，就可以查看或修改该用户的帐户。

解决方案：Seeker^® 等交互式应用安全测试 (IAST) 解决方案可帮助您轻松检测敏感数据的跨站请求伪造或不安全存储。它还可以指出用于处理 JSON Web 令牌的任何错误或缺失逻辑。渗透测试可以作为 IAST 活动的手动补充，帮助检测意外的访问控制。 可能有必要变更架构和设计，以便为数据访问创建信任边界。

3. 注入 (A03:2021)。

注入从第 1 位下降到第 3 位，跨站点脚本现在被认为是这个类别的一部分。从本质上讲，当攻击者将无效数据发送到 Web 应用程序中，以使应用程序执行其设计所不允许的操作时，就发生了代码注入。

示例：应用程序在构建易受攻击的 SQL 调用时使用不可信的数据。

解决方案：在您的持续集成/持续交付 (CI/CD) 管道中包括 SAST 和 IAST 工具，有助于在静态代码级别及在应用程序运行时的动态测试期间识别注入缺陷。Seeker 等现代应用程序安全测试 (AST) 工具可以帮助在各种测试阶段保护软件应用程序，并检查是否有各种注入攻击（除了 SQL 注入）。例如，它可以识别 NoSQL 注入、命令注入、LDAP 注入、模板注入和日志注入。Seeker 是第一款提供全新专门检查器的工具，用于专门检测 Log4Shell 漏洞、确定 Log4J 配置方式、测试 Log4J 实际行为以及使用其受专利保护的主动验证引擎来验证（或作废）这些结果。

4. 不安全的设计 (A04:2021)。

不安全的设计是 2021 年新增的一个类别，其主要关注与设计缺陷相关的风险。随着组织继续实践“左移”，威胁建模、安全设计模式和原则以及参考架构还远远不够。

示例：允许团体预订折扣的连锁电影院要求 15 人以上的团体缴纳押金。攻击者对这一流程进行威胁建模，看看是否可以在连锁电影院的各个剧院预订数以百计的座位，从而造成数千美元的收入损失。

解决方案： Seeker IAST 检测漏洞，并在高度复杂的基于 Web、云和微服务的应用程序中，公开所有入站和出站 API、服务和函数调用。通过提供所涉及的数据流和端点的可视化地图，可以清楚地了解应用程序设计中的任何弱点，从而有助于渗透测试和威胁建模工作。

5. 安全配置错误 (A05:2021)。

以往的外部实体类别如今是这一风险类别的一部分，其从第 6 位上升至此。安全配置错误往往是配置错误或缺陷而导致的设计和配置弱点。

示例：默认帐户及其原始密码仍处于启用状态，使系统容易被利用。

解决方案：Coverity SAST 等解决方案包括一个检查器，可通过错误消息识别可用的信息泄露。Seeker IAST 等动态工具可以在应用程序运行测试期间检测信息泄漏和不合适的 HTTP 头配置。

6. 易受攻击和过时的组件 (A06:2021)。

这一类别从第 9 位上升至此，与包含已知和潜在安全风险的组件相关，而不仅仅是前者。应识别和修补具有已知漏洞的组件（例如 CVE），同时应该评估过时或恶意组件的可行性和它们可能带来的风险。

示例：由于开发中使用的组件数量庞大，开发团队可能不知道或不理解其应用中使用的所有组件，其中一些组件可能已经过时，因此容易受到攻击。

解决方案：Black Duck 等软件组成分析 (SCA) 工具可以与静态分析和 IAST 一起使用，以识别和检测应用程序中过时和不安全的组件。IAST 和 SCA 配合良好，可以深入了解易受攻击或过时组件的实际使用情况。Seeker IAST 和 Black Duck SCA 配合使用，不仅可以识别易受攻击的组件，还展示了诸如该组件当前是否由正在测试的应用程序加载等详情。此外，开发人员活跃度、贡献者声誉和版本历史记录等指标，可以让用户了解过时或恶意组件可能造成的潜在风险。

7. 身份识别和身份验证失效 (A07:2021)。

以前称为身份验证失效，此项已从第 2 位下移，如今包括与身份识别失败相关的 CWE。具体而言，与身份验证和会话管理相关的功能如果实施不当，会允许攻击者泄露密码、关键词和会话，这可能导致用户身份被盗等风险。

示例：Web 应用程序允许使用弱密码或易于猜测的密码（例如“password1”）。

解决方案： 多因素身份验证有助于降低帐户泄漏的风险，自动静态分析在发现此类缺陷方面非常有用，而手动静态分析可以在评估自定义身份验证方案时增加强度。Coverity SAST 包括一个专门识别身份验证失效漏洞的检查器。Seeker IAST 可以检测硬编码的密码和凭据，以及不正确的身份验证或者缺少关键步骤的身份验证。

8. 软件及资料完整性失效 (A08:2021)。

这是 2021 年新增的一个类别，重点关注软件更新、关键数据和在未验证完整性的情况下使用的 CI/CD 管道。如今在这个条目中还包含了不安全的反序列化，即一个反序列化缺陷，允许攻击者在系统中远程执行代码。

示例： 应用程序对攻击者提供的恶意对象进行反序列化，使其自身暴露于漏洞之中。

解决方案：应用安全工具 有助于检测反序列化缺陷，而渗透测试可以验证问题。Seeker IAST 还可以检查是否有不安全的反序列化，并帮助检测不安全的重定向或任何对令牌访问算法的篡改。

9. 安全日志和监控失效 (A09:2021)。

此条目以前被称为日志与监控不足，已经从第 10 位上升至此，并扩展了更多类型的失效。日志记录与监控是应该经常在网站上执行的活动，不这样做就会使网站容易受到更严重的损害活动的攻击。

示例：可被审计的事件（如登录、登录失败和其他重要活动）未被记录，从而导致应用程序易受攻击。

解决方案：在执行 渗透测试后，开发人员可以研究测试日志，以识别可能的缺陷和漏洞。Coverity SAST 和 Seeker IAST 可以帮助识别未记录的安全异常。

10. 服务器端请求伪造 (A10:2021)。

作为今年新增的一个类别，当 Web 应用程序在没有验证用户提供的 URL 的情况下获取远程资源时，就可能发生服务器端请求伪造 (SSRF)。这允许攻击者使应用程序向意外目的地发送精心设计的请求，即使系统受到防火墙、VPN 或其他网络访问控制列表的保护也无济于事。由于云服务和架构复杂性的增加，SSRF 攻击的严重性和发生率正在增加。

示例： 如果网络架构未分段，攻击者可以使用连接结果或经过的时间来连接或拒绝 SSRF 负载连接，以映射内部网络并确定端口在内部服务器上是打开还是关闭。

解决方案： Seeker 是现代 AST 工具之一，无需额外扫描和分类即可跟踪、监控和检测 SSRF。基于其先进的方法和基于代理的技术，Seeker 也可以从 SSRF 中发现任何潜在的漏洞。