非營利組織「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP)自2017年以來首度更新弱點排名Top 10,此次排名變化甚多,共新增3項弱點類別,4項弱點類別的名稱或範疇有所變更,最新排名如下:
- 無效的存取控管(Broken Access Control):從排名第5躍升至第1,OWASP表示,平均而言,3.81%受測的應用程式就會出現一個或多個CWE(Common Weakness Enumerations),與其他弱點類別相比,「無效的存取控管」出現次數明顯最多。
- 加密失敗(Cryptographic Failures):過去被稱為「敏感資料外洩」(Sensitive Data Exposure),更新排名後,此類別聚焦於因加密失敗所導致的敏感資料外洩或系統受損。
- 隱碼攻擊(Injection):從第1名下滑至第3名,跨網站指令碼(Cross-site scripting,XSS)已納入此類別。
- 不安全設計(Insecure Design):屬新增的弱點類別,關注焦點是因設計缺陷所導致的風險,相關產業須採用更多威脅模型、安全設計模式與原則及參考架構以規避風險。
- 安全錯誤配置(Security Misconfiguration):從第6名上升至第5名,排名上升的原因是由於許多應用程式已轉移至高度可配置式軟體。
- 易遭攻擊與過時的零組件(Vulnerable and Outdated Components):從第9名上升至第6名,過去使用的類別名稱為「使用具已知弱點的零組件」(Using Components with Known Vulnerabilities)。
- 身分驗證失敗(Identification and Authentication Failures):從第2名下滑至第7名,這是因為更多企業或組織採用有助於解決此弱點的標準化安全框架。此項弱點過去被稱為「無效身分認證」(Broken Authentication)。
- 軟體及資料完整性故障(Software and Data Integrity Failures):屬新增的弱點類別,此類別聚焦於軟體更新、關鍵資料及CI/CD(Continuous Integration / Continuous Deployment)管道的完整性未經驗證。
- 安全紀錄及監控故障(Security Logging and Monitoring Failures):過去被稱為「安全紀錄與監控不足」(Insufficient Logging & Monitoring),排名從第10名上升至第9名。弱點範疇有所擴充且難以測試,但會直接影響弱點揭露、安全事件預警以及取證。
- 伺服器端請求偽造(Server-side Request Forgery,SSRF):屬新增的弱點類別,此項弱點發生機率較低但受專業安全人員高度重視。
美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)已識別這些弱點,並於去年發布納入運行時應用程式自我保護(Runtime Application Self Protection,RASP)及互動式應用系統安全測試(Interactive Application Security Testing,IAST)的SP800-53應用程式安全框架。
相關連結:
Jonathan Grelg (2021). OWASP updates top 10 vulnerability ranking for first time since 2017. ZD Net.
檢自:
https://www.zdnet.com/article/owasp-updates-top-10-vulnerability-ranking-for-first-time-since-2017/ (Sep. 24 , 2021)
