Ideell stiftelse Open Web Application Security Project (OWASP) har släppt ett uppdaterat utkast till sin rankning av de 10 bästa sårbarheterna, de första ändringarna i listan sedan november 2017.
Den nya listan innehåller betydande förändringar, inklusive uppkomsten av Broken Access Control, som flyttade från femte på listan till nummer 1. Organisationen sa att 94% av ansökningarna har testats för någon form av trasig åtkomstkontroll och “de 34 CWE: erna kartlagda till Bruten åtkomstkontroll hade fler förekomster i applikationer än någon annan kategori. ”
Kryptografiska misslyckanden flyttade också upp listan till nummer 2 på grund av dess koppling till känslig dataexponering och systemkompromiss. Injektionen flyttade ner till den tredje platsen men OWASP noterade att 94% av applikationerna testades för någon form av injektion, som nu inkluderar scripting över flera platser.
En ny kategori – Osäker design – tog sig in på den fjärde platsen på listan följt av säkerhetsfelkonfiguration, som flyttade upp en plats jämfört med listan 2017.
Säkerhetsfelkonfiguration inkluderar nu externa enheter och listornas författare sa att det inte var förvånande med tanke på att 90% av applikationerna testades för någon form av felkonfiguration och att det har skett fler övergångar till mycket konfigurerbar programvara.
Sårbara och föråldrade komponenter rankades som nummer 9 år 2017 men flyttade upp till nummer 6 för årets ranking.
“Det är den enda kategorin som inte har några CVE: er som är mappade till de medföljande CWE: erna, så ett standardutnyttjande och effektvikter på 5,0 räknas in i deras poäng, “noterade listornas författare.
OWASP
Identifierings- och autentiseringsfel – tidigare kallad Bruten autentisering – sjönk betydligt från nummer 2 till 7 , med OWASP som förklarar att den ökade tillgängligheten av standardiserade ramverk har hjälpt till att hantera det.
Program- och dataintegritetsfel är en helt ny kategori för 2021 och fokuserar främst på antaganden relaterade till programuppdateringar, kritisk data och CI/CD -pipelines utan att verifiera integriteten.
“En av de högsta viktade effekterna från CVE/CVSS -data som är mappade till de 10 CWE: erna i denna kategori. Osäker deserialisering från 2017 är nu en del av denna större kategori”, säger OWASP.
< p>Säkerhetsloggning och övervakningsfel var tidigare sist på listan men flyttade upp en plats och har utvidgats till att omfatta andra typer av fel. Även om dessa är utmanande att testa för, kan de “direkt påverka synlighet, incidentalarm och kriminalteknik.”
Sist på listan är förfalskning på serversidan, som har en “relativt låg” incidensfrekvens men citerades mycket av branschpersonal.
OWASP sa att totalt sett fanns det tre nya kategorier och fyra andra som hade antingen namn- eller omfattningsändringar gjorda för 2021 -listan. OWASP, som har sammanställt listan i mer än ett decennium, sammanställer listan baserat på bidragna data och branschundersökningar.
“Vi gör detta av en grundläggande anledning, när vi tittar på de bidragna uppgifterna tittar på det förflutna. AppSec -forskare tar sig tid att hitta nya sårbarheter och nya sätt att testa dem. Det tar tid att integrera dessa tester till verktyg och processer, “sade OWASP.
“När vi på ett tillförlitligt sätt kan testa en svaghet i skalan har det troligtvis gått år. För att balansera den uppfattningen använder vi en branschundersökning för att fråga folk på frontlinjen vad de ser som väsentliga svagheter som uppgifterna kanske inte visar ännu.”
Ben Pick, senior applikationskonsult på nVisium och en av ledarna för Northern Virginia OWASP Chapter, sa till ZDNet att OWASP Top 10 inte är avsedd att användas för efterlevnad, men det ses ofta på detta sätt.
“De föremål som för närvarande är listade är avsedda att öka medvetenheten om trender i branschen när det gäller sårbarheter och utnyttjanden som de företag som ställer upp med sina uppgifter ställs inför – särskilt för dem som kanske inte har en säkerhetsbakgrund”, förklarade Pick.
“Sammantaget matchar detta levande dokument de risker som jag har observerat inom olika bedömningar och jag kommer att fortsätta att använda denna resurs för att lära mig om nya typer av hot. OWASP Top 10 finns fortfarande i utkast och kommer att vara redigeras och förbättras när fler av säkerhetsbranschen granskar innehållet. “
Jayant Shukla, CTO för K2 Cyber Security, tillade att OWASP istället för att gamla risker försvinner har konsoliderat befintliga risker i flera kategorier och nya risker har lagts till, vilket återspeglar de ökade hoten för webbapplikationer.
Shukla noterade att en av anledningarna till att serversidan begär förfalskningsattacker blir mer allvarliga beror på den snabba ökningen av användningen av mikrotjänster i byggprogram.
“Dessa nya riskkategorier betonar behovet av att flytta vänster och förbättra tester före produktion. Tyvärr är dessa problem ofta svåra att hitta under testning, och ibland uppstår de och är bara ett problem när olika applikationsmoduler interagerar, vilket gör dem ännu svårare att upptäcka, säger Shukla.
“Faktum är att National Institute of Standards and Technologies har erkänt dessa brister och förra året uppdaterade sina ramar för applikationssäkerhet för SP800-53 till att inkludera Runtime Application Self Protection och Interactive Application Security Testing för att bättre skydda mot dessa kritiska programvarusvagheter. Det är dags att mjukvaruutvecklingsindustrin kom ombord och antog dessa effektivare tekniker. “
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det är bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Digital Transformation Security TV Datahantering CXO Datacenter