OWASP漏洞原理启航（第一课）

OWASP Top 10 2021 介紹漏洞原理启航介绍

OWASP 定义：

AI介绍

OWASP (开放Web应用程序和安全项目) 是一个全球性的社区，致力于提供关于Web应用程序安全性的信息、教育和支持。OWASP是一个非盈利组织，由志愿者驱动，旨在提高Web应用程序和相关技术的安全性。
OWLS (OWASP Learning Subgroup) 是OWASP的一个分支机构，专注于提供免费的学习资源，帮助人们更好地了解Web应用程序安全性方面的知识。这些资源包括教程、指南、工具和其他有用的信息，涵盖了各种安全主题，如漏洞利用、恶意软件、入侵检测和Web应用程序防火墙等。
除了OWLS之外，OWASP还维护着许多其他项目和工具，例如Top 10项目，它提供了关于Web应用程序最常见安全漏洞的清单；ZAP (OWASP Zed Attack Proxy)，它是一个免费的、开源的Web应用程序扫描器；以及ASVS (OWASP Application Security Verification Standard)，它是一份关于如何验证Web应用程序安全性的指南。
总的来说，OWASP是一个非常有用的资源，对于那些希望提高Web应用程序安全性的人来说，无论是开发人员、安全专业人员还是普通用户，都可以从OWASP的工作中受益。

博客介绍

技术成就梦想51CTO-中国知名的数字化人才学习平台和技术社区

OWASP TOP 10 2021 草案初窥_51CTO博客_owasp top 10 2020

定义

OWASP（Open Web Application Security Project）是一个非盈利性的社区，致力于提高软件的安全质量，减少安全漏洞。OWASP在2013年、2017年分别发布了OWASP Top 10 2013及OWASP Top 10 2017两个版本，从官网获悉，时隔4年，在OWASP社区成立20周年之际即将发布OWASP Top 10 2021，目前该版本还是草案阶段，本文对该草案进行简要的介绍说明，预计与正式版本不会有太大变化，当然官网上也明确说明此版本为草案评论版本，不要使用。目前在Github上有专门的项目对最新的Top 10问题进行讨论。

OWASP官网介绍

中文官网

2021 OWASP TOP 10 — OWASP-CHINA

英文官网

首頁 - OWASP Top 10:2021

OWASP 历史必须要知道

项目介绍 — OWASP-CHINA

2010年

2013年

2017年

2021年

OWASP 2021 漏洞原理最新以此为大纲对漏洞原理详细的介绍攻防介绍

A01:2021-权限控制失效

从第五名移上來; 94% 被测试的应用程式都有验证到某种类别权限控制失效的问题。在权限控制失效这个类别中被对应到的 34 个 CWEs 在验测资料中出现的次数都高于其他的弱点类别。

A02:2021-加密机制失效

提升一名到第二名，在之前为 敏感资料外曝，在此定义下比较类似于一个广泛的问题而非根本原因。在此重新定义并将问题核心定义在加密机制的失败，并因此造成敏感性资料外泄或是系統被破坏。

A03:2021-注入式攻击

下滑到第三名。94% 被测试的应用程式都有验测到某种类別注入式攻击的问题。在注入式攻击这个类別中被对应到的 33 个 CWEs 在验测资料中出现的次数为弱点问题的第二高。跨站脚本攻击现在在新版本属于这个类別。

A04:2021-不安全设计

这是 2021 年版本的新类別，并特別聚焦在设计相关的缺陷。如果我们真的希望让整个产业"向左移动"＊注一＊，那我们必须进一步的往威胁建模，安全设计模块的观念，和安全參考架构前进。注一: Move Left 于英文原文中代表在软件开发及交付过程中，在早期找出及处理相关问题，同 Shift Left Testing。

A05:2021-安全设定缺陷

从上一版本的第六名移动上來。90% 被测试的应用程式都有验测到某种类別的安全设定缺陷。在更多的软件往更高度和有弹性的设定移动，我们并不意外这个类別的问题往上移动。在前版本中的 XML 外部实体注入攻击（XML External Entities）现在属于这个类別。

A06:2021-危险或过旧的组件

在之前标题为 使用有已知弱点的组件。在本次版本中于业界问卷中排名第二，但也有足够的统计资料让它可以进入 Top 10。这个类別从 2017 版本的第九名爬升到第六，也是我们持续挣扎做测试和评估风险的类別。这也是唯一一个沒有任何 CVE 能被对应到 CWE 內的类別，所以预设的威胁及影响权重在这类別的分数上被预设为 5.0。