Nonprofit foundation Open Web Application Security Project (OWASP) har frigivet et opdateret udkast til sin placering af de 10 bedste sårbarheder, de første ændringer på listen siden november 2017.
Den nye liste indeholder betydelige ændringer, herunder fremkomsten af Broken Access Control, der flyttede fra femte på listen til nummer 1. Organisationen sagde, at 94% af ansøgningerne er blevet testet for en eller anden form for brudt adgangskontrol og “de 34 CWE'er kortlagt til Broken Access Control havde flere forekomster i applikationer end nogen anden kategori. ”
Kryptografiske fejl flyttede også op på listen til nummer 2 på grund af dets forbindelse til følsom dataeksponering og systemkompromis. Injektion flyttede ned til det tredje sted, men OWASP bemærkede, at 94% af applikationerne blev testet for en eller anden form for injektion, som nu inkluderer scripting på tværs af websteder.
En ny kategori – Usikkert design – trådte ind på fjerdepladsen på listen efterfulgt af Sikkerhedsfejlkonfiguration, der flyttede sig et sted i forhold til 2017 -listen.
Sikkerhedsfejlkonfiguration omfatter nu eksterne enheder, og listernes forfattere sagde, at det ikke var overraskende, da 90% af applikationerne blev testet for en eller anden form for fejlkonfiguration, og at der har været flere skift til meget konfigurerbar software.
Sårbare og forældede komponenter blev rangeret som nummer 9 i 2017, men flyttede op til nummer 6 for dette års placering.
“Det er den eneste kategori, der ikke har nogen CVE'er tilknyttet de inkluderede CWE'er, så en standardudnyttelse og effektvægte på 5,0 indregnes i deres score, “bemærkede listernes forfattere.
OWASP
Identifikations- og godkendelsesfejl – tidligere kaldet Broken Authentication – faldt betydeligt fra nummer 2 til 7 , hvor OWASP forklarede, at den øgede tilgængelighed af standardiserede rammer har hjulpet med at løse det.
Software- og dataintegritetsfejl er en helt ny kategori for 2021 og fokuserer primært på antagelser relateret til softwareopdateringer, kritiske data og CI/CD -rørledninger uden at verificere integriteten.
“En af de højeste vægtede påvirkninger fra CVE/CVSS -data kortlagt til de 10 CWE'er i denne kategori. Usikker deserialisering fra 2017 er nu en del af denne større kategori,” sagde OWASP.
< p>Sikkerhedslogning og overvågningsfejl var tidligere sidst på listen, men flyttede et sted op og er blevet udvidet til at omfatte andre typer fejl. Selvom disse er udfordrende at teste for, kan de “direkte påvirke synlighed, advarsel om hændelser og retsmedicin.”
Sidst på listen er forfalskning på serversiden, som har en “relativt lav” forekomst, men blev højt citeret af branchefolk.
OWASP sagde, at der generelt var tre nye kategorier og fire andre, der enten havde navne- eller omfangsændringer for 2021 -listen. OWASP, der har sammensat listen i mere end et årti, udarbejder listen baseret på bidrag fra data og industriundersøgelser.
“Vi gør dette af en grundlæggende årsag, idet man ser på de bidrogede data og ser på fortiden. AppSec -forskere tager sig tid til at finde nye sårbarheder og nye måder at teste dem på. Det tager tid at integrere disse tests i værktøjer og processer, “sagde OWASP.
“På det tidspunkt, vi pålideligt kan teste en svaghed i skala, er der sandsynligvis gået år. For at afbalancere denne opfattelse bruger vi en brancheundersøgelse til at spørge folk på frontlinjen, hvad de ser som væsentlige svagheder, som dataene muligvis ikke viser endnu.”
Ben Pick, senior applikationssikkerhedskonsulent hos nVisium og en af lederne i Northern Virginia OWASP Chapter, fortalte ZDNet, at OWASP Top 10 ikke er beregnet til at blive brugt til overholdelse, men det ses ofte på denne måde.
“De punkter, der i øjeblikket er anført, er beregnet til at øge bevidstheden om tendenser i hele branchen vedrørende sårbarheder og bedrifter, som de virksomheder, der frivilligt stillede deres data, står over for – især for dem, der muligvis ikke har en sikkerhedsbaggrund,” forklarede Pick.
“Samlet set matcher dette levende dokument de risici, jeg har observeret inden for forskellige vurderinger, og jeg vil fortsat bruge denne ressource til at lære om nye former for trusler. OWASP Top 10 er stadig i udkastform og vil blive redigeret og forbedret, da flere af sikkerhedsindustrien gennemgår indholdet. “
Jayant Shukla, CTO for K2 Cyber Security, tilføjede, at i stedet for at gamle risici forsvinder, har OWASP konsolideret eksisterende risici i flere kategorier, og nye risici er tilføjet, hvilket afspejler de øgede trusler, webapplikationer står over for.
Shukla bemærkede, at en af grundene til, at angrebsspecifikke angreb på serversiden bliver mere alvorlige, skyldes den hurtige stigning i brugen af mikrotjenester i bygningsapplikationer.
“Disse nye risikokategorier understreger behovet for at skifte til venstre og forbedre førproduktionstest. Desværre er disse problemer ofte svære at finde under test, og nogle gange opstår de og er kun et problem, når forskellige applikationsmoduler interagerer, hvilket gør dem endnu sværere at opdage, “sagde Shukla.
“Faktisk har National Institute of Standards and Technologies anerkendt disse mangler, og sidste år opdaterede deres ramme for applikationssikkerhed SP800-53 til at omfatte Runtime Application Self Protection og Interactive Application Security Testing for bedre at beskytte mod disse kritiske softwaresvagheder. Det er på tide, at softwareudviklingsindustrien kom om bord og vedtog disse mere effektive teknologier. “
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Digital Transformation Security TV Data Management CXO Data Centers