The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. Globally recognized by developers as the first step towards more secure coding. Companies should adopt this document and start the process of ensuring that their web applications minimize these
risks. Using the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces more secure code. There are three new categories, four categories with naming and scoping changes, and some consolidation in the Top 10 for 2021.
Translation EffortsEfforts have been made in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don’t see your language listed (neither here nor at github), please email [email protected] to let us know that you want to help and we’ll form a volunteer group for your language. We have compiled this README.TRANSLATIONS with some hints to help you with your translation. 2017 Completed Translations:
Historic:2017 Release Candidate Translation Teams:
2013 Completed Translations:
2010 Completed Translations:
The OWASP Top 10:2021 is sponsored by Secure Code Warrior. The OWASP Top 10 - 2017 project was sponsored by Autodesk, and supported by the OWASP NoVA Chapter. Thanks to Aspect Security for sponsoring earlier versions. OWASP Top 10 2020 Data Analysis PlanGoalsTo collect the most comprehensive dataset related to identified application vulnerabilities to-date to enable analysis for the Top 10 and other future research as well. This data should come from a variety of sources; security vendors and consultancies, bug bounties, along with company/organizational contributions. Data will be normalized to allow for level comparison between Human assisted Tooling and Tooling assisted Humans. Analysis InfrastructurePlan to leverage the OWASP Azure Cloud Infrastructure to collect, analyze, and store the data contributed. ContributionsWe plan to support both known and pseudo-anonymous contributions. The preference is for contributions to be known; this immensely helps with the validation/quality/confidence of the data submitted. If the submitter prefers to have their data stored anonymously and even go as far as submitting the data anonymously, then it will have to be classified as “unverified” vs. “verified”. Verified Data ContributionScenario 1: The submitter is known and has agreed to be identified as a contributing party. Unverified Data ContributionScenario 4: The submitter is anonymous. (Should we support?) The analysis of the data will be conducted with a careful distinction when the unverified data is part of the dataset that was analyzed. Contribution ProcessThere are a few ways that data can be contributed:
Template examples can be found in GitHub: https://github.com/OWASP/Top10/tree/master/2021/Data Contribution PeriodWe plan to accept contributions to the new Top 10 from May to Nov 30, 2020 for data dating from 2017 to current. Data StructureThe following data elements are required or optional. Metadata
CWE Data
If at all possible, please provide core CWEs in the data, not CWE categories. Note:If a contributor has two types of datasets, one from HaT and one from TaH sources, then it is recommended to submit them as two separate datasets. SurveySimilarly to the Top Ten 2017, we plan to conduct a survey to identify up to two categories of the Top Ten that the community believes are important, but may not be reflected in the data yet. We plan to conduct the survey in May or June 2020, and will be utilizing Google forms in a similar manner as last time. The CWEs on the survey will come from current trending findings, CWEs that are outside the Top Ten in data, and other potential sources. ProcessAt a high level, we plan to perform a level of data normalization; however, we will keep a version of the raw data contributed for future analysis. We will analyze the CWE distribution of the datasets and potentially reclassify some CWEs to consolidate them into larger buckets. We will carefully document all normalization actions taken so it is clear what has been done. We plan to calculate likelihood following the model we developed in 2017 to determine incidence rate instead of frequency to rate how likely a given app may contain at least one instance of a CWE. This means we aren’t looking for the frequency rate (number of findings) in an app, rather, we are looking for the number of applications that had one or more instances of a CWE. We can calculate the incidence rate based on the total number of applications tested in the dataset compared to how many applications each CWE was found in. In addition, we will be developing base CWSS scores for the top 20-30 CWEs and include potential impact into the Top 10 weighting. Also, would like to explore additional insights that could be gleaned from the contributed dataset to see what else can be learned that could be of use to the security and development communities. Ngày 31 tháng 8 năm 20222222 Reading time: 7 mins Bạn có thể nghe nói về Top Ten OWASP - một tài liệu lần đầu tiên được phát hành vào năm 2003 để thúc đẩy nhận thức về các rủi ro an ninh mạng nổi bật trong các ứng dụng web. Trong thế giới phần mềm ngày nay, những người ra quyết định công nghệ cần có sự hiểu biết vững chắc về những rủi ro này và các lỗ hổng liên quan để giúp đưa ra quyết định về thực tiễn bảo mật, công cụ và quy trình để giảm thiểu rủi ro cho các ứng dụng web của công ty họ. & NBSP; Tài liệu Top Ten thực tế của OWASP chủ yếu được viết cho các nhà phát triển, điều đó có nghĩa là nó có thể nhận được rất nặng về các chi tiết kỹ thuật và làm bùn nước cho việc ra quyết định chiến lược. Blog này nhằm mục đích xem xét top 10 của OWASP tập trung vào ý nghĩa của mỗi người có nghĩa là về mặt thực tế, hậu quả kinh doanh tiềm năng và các mẹo giảm thiểu có thể hành động. & NBSP;This blog aims to review the OWASP Top 10 focusing on what each one means in practical terms, the potential business consequences, and actionable mitigation tips. OWASP Top Ten: Tất cả là gì về? & NBSP;Dự án bảo mật ứng dụng web mở (OWASP) là một nền tảng phi lợi nhuận nhằm cải thiện bảo mật phần mềm bằng cách xuất bản các tiêu chuẩn, bài viết, công cụ và tài liệu của ngành. Một ví dụ về loại công cụ mà nó cung cấp là Khung đánh giá rủi ro OWASP, kết hợp các công cụ kiểm tra bảo mật và đánh giá rủi ro ứng dụng tĩnh. & NBSP; Cứ sau ba đến bốn năm, OWASP cập nhật danh sách mười rủi ro bảo mật ứng dụng hàng đầu của mình trong bối cảnh các động lực bảo mật ứng dụng hiện hành và cảnh quan đe dọa tổng thể. Top Ten được xếp hạng theo thứ tự mức rủi ro. & NBSP; in light of prevailing application security dynamics and the overall threat landscape. The top ten are ranked in order of risk level. Phương pháp này sử dụng kết hợp phân tích dựa trên dữ liệu và khảo sát ngành để thiết lập danh sách mười lỗ hổng bảo mật ứng dụng quan trọng nhất:combination of data-driven analysis and industry surveys to establish a list of the ten most significant application security vulnerabilities:
10 lỗ hổng hàng đầu cho 2022 & NBSP;Bây giờ chúng ta hãy nhìn vào Top Ten hiện tại thông qua lăng kính giúp thông báo cho các quyết định an ninh và công nghệ chiến lược của bạn. & NBSP; 1. Kiểm soát truy cập bị hỏngKiểm soát truy cập là rất quan trọng để đảm bảo các ứng dụng chống lại việc truy cập trái phép dữ liệu và tài nguyên. Các điều khiển truy cập bị hỏng có thể dẫn đến thỏa hiệp dữ liệu, có được các quyền vượt ra ngoài những gì mà dành cho người dùng tiêu chuẩn hoặc các cuộc tấn công tiếp quản tài khoản trong đó người ngoài tấn công tài khoản người dùng và bắt đầu các giao dịch gian lận. & NBSP; Lỗ hổng này đã tăng từ vị trí thứ 5 năm 2017 lên thứ 1 vào năm 2021, phản ánh rằng nó đã được tìm thấy trong 94% các ứng dụng được thử nghiệm. Các lỗ hổng phổ biến trong danh mục rủi ro này bao gồm các lỗi logic ứng dụng vượt qua kiểm tra kiểm soát truy cập bằng cách cho phép người dùng thay đổi giá trị tham số hoặc buộc duyệt sang một số URL nhất định. Từ góc độ ra quyết định, nó rất quan trọng để nhấn mạnh tầm quan trọng của việc thay đổi bảo mật còn lại trong chu kỳ phát triển. Các điều khiển truy cập khó thực hiện hơn sau này, vì vậy hãy truyền đạt sự quan trọng của việc thực hiện các điều khiển truy cập phù hợp, chẳng hạn như từ chối các yêu cầu theo mặc định và tỷ lệ giới hạn API sớm trong phát triển ứng dụng web. & NBSP; & NBSP; Common vulnerabilities in this risk category include application logic faults that bypass access control checks by allowing users to change parameter values or force browse to certain URLs. 2. Thất bại về mật mãLỗi mật mã đề cập đến việc thực hiện mã hóa xấu hoặc thiếu hoàn toàn mã hóa. Hậu quả chính của sự cố mật mã là bạn có khả năng phơi bày dữ liệu nhạy cảm. Việc tiếp xúc với dữ liệu nhạy cảm có thể đặt ra các rủi ro kinh doanh, uy tín hoặc cạnh tranh tùy thuộc vào thông tin nào không được bảo vệ đầy đủ bằng mã hóa.. The major consequence of a cryptographic failure is that you can potentially expose sensitive data. The exposure of sensitive data can pose compliance, reputational, or competitive business risks depending on what information is not adequately protected by encryption. Với chi phí vi phạm dữ liệu trung bình ở mức cao nhất mọi thời đại là 4,35 triệu đô la vào năm 2022, các doanh nghiệp có thể đủ khả năng để giảm bằng mật mã.$4.35 million in 2022, businesses can’t afford to slip up with cryptography. Quan trọng để ngăn chặn các lỗi mật mã là phân loại dữ liệu đầu tiên mà bất kỳ ứng dụng web nào xử lý, lưu trữ hoặc truyền. Sau đó, bạn có thể xác định các tài sản dữ liệu nhạy cảm và đảm bảo chúng được mã hóa cả khi nghỉ ngơi và vận chuyển. Một giải pháp mã hóa hiện đại sử dụng các thuật toán tiêu chuẩn cập nhật và mạnh mẽ tập trung vào cấu hình khóa mã hóa và mã hóa, và quản lý vòng đời khóa mã hóa là một khoản đầu tư thận trọng. & NBSP;classifying the data that any web app processes, stores, or transmits. Then, you can identify the sensitive data assets and ensure they’re encrypted both at rest and in transit. A modern encryption solution that uses up-to-date and strong standard algorithms centralizes encryption and encryption key configuration, and manages the encryption key lifecycle is a prudent investment. 3. tiêmTiêm là một loại rủi ro đề cập đến khả năng của các tác nhân đe dọa cung cấp đầu vào độc hại cho các ứng dụng web dẫn đến việc ứng dụng thực hiện các lệnh bất ngờ và không mong muốn. Tiêm xảy ra khi ứng dụng có thể phân biệt đầu vào độc hại với mã của nó. Các cuộc tấn công tiêm phổ biến bao gồm tiêm SQL chèn các truy vấn SQL độc hại vào các trường đầu vào hoặc tiêm JavaScript tải mã độc vào phía máy khách của ứng dụng web. & NBSP;. Injection occurs when the app can’t distinguish malicious input from its code. Common injection attacks include SQL injections that insert malicious SQL queries into input fields or JavaScript injections that load malicious code into the client-side of the web app. Các cuộc tấn công tiêm có thể dẫn đến các kết quả tiêu cực khác nhau, bao gồm từ chối dịch vụ, độ cao đặc quyền và vi phạm dữ liệu. Một yếu tố chiến lược quan trọng của giảm thiểu là khuyến khích sử dụng các công cụ giúp phát hiện các lỗ hổng tiêm trong mã. Vì có một số cuộc tấn công tiêm khác nhau, bạn có thể cần nhiều hơn một công cụ để thử nghiệm kỹ lưỡng. & NBSP; 4. Thiết kế không an toànĐây là một danh mục hoàn toàn mới cho Top Ten OWASP, tập trung rộng rãi vào thiết kế ứng dụng và lỗ hổng kiến trúc dẫn đến tăng rủi ro bảo mật. Khi một ứng dụng vốn được thiết kế theo cách không an toàn, ngay cả việc thực hiện hoàn hảo các điều khiển bảo mật và rủi ro cũng có thể bù đắp cho những điểm yếu thiết kế đó. Các tác nhân đe dọa tinh vi cuối cùng sẽ tìm thấy và khai thác các lỗ hổng thiết kế. & NBSP;focusing broadly on application design and architectural flaws that lead to increased security risks. When an application is inherently designed in an insecure way, even a perfect implementation of security controls and risks can’t compensate for those design weaknesses. Sophisticated threat actors will eventually find and exploit design flaws. Ở cấp độ cao, một trong những mẹo giảm thiểu quan trọng nhất là bắt buộc sử dụng mô hình hóa mối đe dọa cho các nhóm phát triển phần mềm. Mô hình hóa mối đe dọa nên sử dụng cấu trúc và luồng dữ liệu vốn có cho một ứng dụng web cụ thể để tìm ra các mối đe dọa kỹ thuật chính có thể khai thác hệ thống. Để tìm ra các mối đe dọa, hãy cố gắng trả lời câu hỏi, thì điều gì có thể sai ở đây? Mô hình sải chân là một nơi tốt để động não vì nó tập trung vào các loại mối đe dọa và kiểm soát bảo mật ứng dụng quan trọng để ngăn chặn chúng. & NBSP;mandate the use of threat modeling for software development teams. Threat modeling should use the structure and data flow inherent to a specific web app to
trace out the key technical threats that could exploit the system. 5. Cấu hình saiDanh mục rủi ro này liên quan đến các thành phần bảo mật trong một ứng dụng được cấu hình không chính xác. Các cấu hình sai ngày càng phổ biến do đám mây được sử dụng làm môi trường phát triển và các ứng dụng web được xây dựng bằng hình ảnh container. Độ phức tạp của cơ sở hạ tầng có thể xảy ra nhiều điểm hơn mà tại đó các cấu hình sai bảo mật có thể xảy ra. Trong dữ liệu được thu thập bởi OWASP hiện tại Top Ten, đã có hơn 200.000 trường hợp được phát hiện về cấu hình bảo mật trong các ứng dụng web. Thách thức với việc giảm thiểu rủi ro cấu hình sai bảo mật từ quan điểm chiến lược là chúng bao gồm toàn bộ ngăn xếp ứng dụng và cơ sở hạ tầng ứng dụng. Các lỗi riêng lẻ thường được chơi ở đây, chẳng hạn như mở các cổng không cần thiết, không thay đổi mật khẩu mặc định hoặc để các thùng lưu trữ đám mây mở. Một thay đổi chiến lược quan trọng là đảm bảo bạn có một quy trình lặp lại để các cấu hình cứng và một công cụ hoặc quy trình tự động kiểm toán và xác minh các cấu hình đó trên các môi trường tại chỗ và đám mây. & NBSP;Misconfigurations are increasingly common due to the cloud being used as a development environment and web apps being built with container images. The infrastructural complexity adds more points at which security misconfigurations can occur. 6. Các thành phần dễ bị tổn thương và lỗi thờiCác ứng dụng web bao gồm nhiều thành phần hoặc khối xây dựng từ các nguồn bên ngoài (thư viện, khung, v.v.). Các thành phần này xử lý cả chức năng back-end và front-end. Khi các tác nhân đe dọa cố gắng thỏa hiệp một ứng dụng, họ nhìn vào các bộ phận cấu thành của nó và cố gắng khai thác bất kỳ lỗ hổng nào. Thông thường, các lỗ hổng này đến từ việc sử dụng các khung hoặc thư viện lỗi thời dễ khai thác. & NBSP;components or building blocks from external sources (libraries, frameworks, etc.). These components handle both back-end and front-end functionality. When threat actors try to compromise an application, they look at its component parts and attempt to exploit any vulnerabilities. Often, these vulnerabilities come from using out-of-date frameworks or libraries that are easy to exploit. Giảm thiểu chiến lược tổng thể ở đây là đảm bảo một chiến lược quản lý bản vá hiệu quả được đưa ra. Một phần của chiến lược đó đòi hỏi phải duy trì hàng tồn kho của tất cả các thành phần trong các ứng dụng của bạn và các phiên bản tương ứng của các thành phần đó mà ứng dụng đang chạy. Lý tưởng nhất, bạn sẽ có thể tự động hóa bước kiểm kê bằng giải pháp kiểm kê kỹ thuật số. & NBSP;ensure an effective patch management strategy is in place. Part of that strategy entails maintaining an inventory of all the components in your apps and the respective versions of those components the app is running. Ideally, you’ll be able to automate the inventory step with a digital inventory solution. 7. Lỗi xác định và xác thựcThất bại trong xác thực và quản lý danh tính làm cho các ứng dụng dễ bị đe dọa các diễn viên giả mạo thành người dùng hợp pháp. Một số ví dụ về các lỗ hổng bao gồm không thiết lập các khoảng thời gian hợp lệ cho ID phiên, cho phép mật khẩu yếu dễ đoán và không giới hạn tỷ lệ các nỗ lực đăng nhập chống lại các cuộc tấn công tự động.. Some examples of vulnerabilities include not setting validity periods for session IDs, permitting weak passwords that are easy to guess, and not rate limiting login attempts against automated attacks. Các giải pháp bao gồm thực hiện xác thực đa yếu tố trong các ứng dụng và truyền đạt tầm quan trọng của việc tuân thủ độ dài mật khẩu, độ phức tạp và chính sách xoay được đề xuất cho các nhà phát triển. & NBSP; & NBSP;implementing multi-factor authentication in apps and communicating the importance of complying with recommended password length, complexity, and rotation policies to developers. 8. Thất bại toàn vẹn phần mềm và dữ liệuĐây là một danh mục rủi ro mới khác trong Top Ten của OWASP và tất cả về việc đưa ra các giả định mặc định bị lỗi trong các đường ống phát triển về tính toàn vẹn của phần mềm hoặc dữ liệu. Vì các ứng dụng web thường xuyên dựa vào các plugin và thư viện từ các nguồn bên ngoài, việc thiếu xác minh tính toàn vẹn của các nguồn này sẽ đưa ra nguy cơ mã độc, truy cập trái phép và thỏa hiệp.making faulty default assumptions within development pipelines about the integrity of software or data. Since web apps regularly rely on plugins and libraries from external sources, a lack of verification of the integrity of these sources introduces the risk of malicious code, unauthorized access, and compromise. Chiến lược giảm thiểu chính là đảm bảo mã bên ngoài hoặc dữ liệu đã bị giả mạo bằng cách yêu cầu chữ ký số. & NBSP;ensuring external code or data hasn’t been tampered with by requiring digital signatures. 9. Lỗi ghi nhật ký và giám sát bảo mậtGhi nhật ký và giám sát trợ giúp để cung cấp trách nhiệm bảo mật, khả năng hiển thị vào các sự kiện, cảnh báo sự cố và pháp y. Khi có những thất bại trong các khả năng này, khả năng phát hiện và ứng phó với các vi phạm ứng dụng của bạn trở nên bị tổn hại nghiêm trọng. Để giảm thiểu, sử dụng các công cụ nguồn mở hoặc độc quyền để tương quan nhật ký, thực hiện giám sát và cảnh báo và tạo chiến lược phản hồi và phục hồi sự cố bằng cách sử dụng các hướng dẫn đã được thiết lập, chẳng hạn như NIST 800-61R2. & NBSP;. When there are failures in these capabilities, your company’s ability to detect and respond to application breaches becomes severely compromised. To mitigate, use open source or proprietary tools to correlate logs, implement monitoring and alerting, and create an incident recovery and response strategy using established guidelines, such as NIST 800-61r2. 10. Việc giả mạo yêu cầu phía máy chủ (SSRF) & NBSP;SSRF là một trong hai rủi ro hàng đầu của OWASP được thêm vào dựa trên khảo sát cộng đồng thay vì dữ liệu từ các ứng dụng web. Hầu hết các ứng dụng web ngày nay yêu cầu các tài nguyên bên ngoài cho chức năng của chúng, thường được truy cập tại URL. SSRF xảy ra khi tin tặc có thể nhận máy chủ để thực hiện các yêu cầu mà họ kiểm soát. Lỗ hổng điển hình là ứng dụng web không xác nhận URL do người dùng cung cấp, có khả năng cho phép truy cập vào các dịch vụ hoặc tài nguyên nội bộ bằng cách bỏ qua các điều khiển truy cập. Khái niệm chiến lược về bảo vệ theo chiều sâu ở đây là rất quan trọng; Nhiều điều khiển tại các lớp ứng dụng và mạng có thể giúp ngăn chặn SSRF. Dữ liệu đầu vào do khách hàng cung cấp nên được xác thực và vệ sinh, trong khi phân đoạn mạng cũng có thể giúp. & NBSP;. Most web apps today require external resources for their functionality, which are usually accessed at URLs. SSRF occurs when hackers can get servers to make requests that they control. The typical vulnerability is that the web application doesn’t validate the
user-supplied URL, potentially allowing access to internal services or resources by bypassing access controls. Giữ bình tĩnh nhưng hãy nhớ nhìn theo mọi hướngMặc dù Top Ten là một tài liệu hữu ích để cải thiện bảo mật ứng dụng web, nhưng nó không phải là tất cả và cuối cùng. Có một sự tập trung mạnh mẽ vào việc đảm bảo phía máy chủ, nhưng nhiều cuộc tấn công ngày nay tập trung vào phía máy khách. Nói cách khác, điều quan trọng là nhìn theo mọi hướng. & NBSP; Một điểm mù cụ thể là các tập lệnh của bên thứ ba thường chạy trên các trang web và ứng dụng web. Những tập lệnh có khả năng bị xâm phạm bỏ qua các công cụ bảo mật. Hệ sinh thái kỹ thuật số hiện đại phức tạp yêu cầu bạn quản lý hàng tồn kho ngày càng tăng của các ứng dụng và kịch bản của bên thứ ba. & NBSP;third-party apps and scripts. Reflectiz cung cấp một danh sách đầy đủ của tất cả các ứng dụng của bên thứ ba và thứ tư đang chạy trên trang web của bạn, bao gồm các tập lệnh, địa lý và các mối quan hệ của họ. Nền tảng cũng cung cấp cho bạn dữ liệu về các vấn đề và lỗ hổng tuân thủ tiềm năng mà bạn có thể khắc phục trước khi nó quá muộn. Tham gia Phản ánh phiên bản miễn phí ngay hôm nay. & NBSP;remediate before it’s too late. Join Reflectiz FREE version today. 10 lỗ hổng top owasp là gì?Top 10 của OWASP là gì ?.. Mũi tiêm. .... Xác thực bị hỏng. .... Tiếp xúc dữ liệu nhạy cảm. .... Các thực thể bên ngoài XML (XEE) .... Kiểm soát truy cập bị hỏng. .... Cấu hình sai bảo mật. .... Kịch bản chéo trang .. 10 lỗ hổng top OWASP cho năm 2022 là gì?10 lỗ hổng hàng đầu cho năm 2022.. Mũi tiêm..... Thiết kế không an toàn..... Cấu hình sai bảo mật..... Các thành phần dễ bị tổn thương và lỗi thời..... Xác định và xác thực thất bại..... Phần mềm và lỗi toàn vẹn dữ liệu..... Ghi nhật ký và giám sát bảo mật thất bại..... Sự giả mạo yêu cầu phía máy chủ (SSRF). Lỗ hổng nào được xếp hạng số 1 trên top 10 của OWASP?Tiêm là lỗ hổng số 1 được báo cáo bởi OWASP.Tiêm có thể gửi dữ liệu không đáng tin cậy qua SQL hoặc các đường dẫn khác như LDAP, cho phép trình thông dịch truy cập dữ liệu trái phép hoặc thực thi các lệnh không được dự định bởi ứng dụng. is the number 1 flaw reported by OWASP. Injection can send untrusted data through SQL or other paths such as LDAP, allowing the interpreter to access unauthorized data or execute commands not intended by the application.
Phân loại top 10 của OWASP là gì?Top 10 của OWASP cung cấp bảng xếp hạng của hướng dẫn khắc phục và khắc phục cho 10 rủi ro bảo mật ứng dụng web quan trọng nhất.Tận dụng kiến thức và kinh nghiệm sâu rộng của những người đóng góp cộng đồng mở của OWASP, báo cáo dựa trên sự đồng thuận giữa các chuyên gia bảo mật từ khắp nơi trên thế giới.provides rankings of—and remediation guidance for—the top 10 most critical web application security risks. Leveraging the extensive knowledge and experience of the OWASP's open community contributors, the report is based on a consensus among security experts from around the world. |