OWASP İlk 10 2021

2021 için İlk 10’da neler değişti?

Üç yeni kategori, adlandırma ve kapsam değişiklikleri içeren dört kategori ve 2021 için İlk 10’da bazı konsolidasyonlar var.

İlk 10 2017 ile yeni İlk 10 2021 arasındaki ilişkinin haritalandırılması

A01:2021-Bozuk Erişim Kontrolü beşinci konumdan yukarı hareket ediyor; Uygulamaların %94’ü bir tür bozuk erişim denetimi için test edildi. Kırık Erişim Kontrolü ile eşlenen 34 CWE, uygulamalarda diğer tüm kategorilerden daha fazla olaya sahipti.

Y02:2021-Kriptografik Hatalar , bir konum yukarı, daha önce bir kök nedenden ziyade geniş bir belirti olan Hassas Verilere Maruz Kalma olarak bilinen #2’ye kayar . Burada yenilenen odak noktası, genellikle hassas verilerin açığa çıkmasına veya sistemden ödün verilmesine yol açan kriptografiyle ilgili hatalardır.

A03:2021-Enjeksiyon üçüncü konuma kayar. Başvuruların %94’ü bir tür enjeksiyon için test edildi ve bu kategoriye eşlenen 33 CWE, uygulamalarda en çok ikinci kez görüldü. Siteler Arası Komut Dosyası Çalıştırma artık bu sürümde bu kategorinin bir parçasıdır.

Y04:2021-Güvensiz Tasarım , 2021 için tasarım kusurlarıyla ilgili risklere odaklanan yeni bir kategoridir. Bir endüstri olarak gerçekten “sola gitmek” istiyorsak, tehdit modelleme, güvenli tasarım kalıpları ve ilkeleri ve referans mimarilerin daha fazla kullanılmasını gerektirir.

A05:2021-Güvenlik Hatalı Yapılandırması önceki baskıda #6’dan yukarı çıkıyor; Uygulamaların %90’ı bir tür yanlış yapılandırma için test edildi. Yüksek düzeyde yapılandırılabilir yazılıma geçişle birlikte, bu kategorinin yukarı doğru hareket ettiğini görmek şaşırtıcı değil. XML Harici Varlıklar (XXE) için eski kategori artık bu kategorinin bir parçasıdır.

A06:2021-Zayıf ve Güncel Olmayan Bileşenler , daha önce Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma başlıklı ve sektör araştırmasında 2. sıradaydı, ancak veri analizi yoluyla İlk 10’a girmeye yetecek kadar veriye de sahipti. Bu kategori 2017’de 9. sırada yer alıyor ve riski test etmek ve değerlendirmek için mücadele ettiğimiz bilinen bir sorun. Dahil edilen CWE’lerle eşlenmiş herhangi bir CVE’ye sahip olmayan tek kategoridir, bu nedenle varsayılan bir istismar ve 5.0’lık etki ağırlıkları puanlarına dahil edilir.

A07:2021-Tanımlama ve Kimlik Doğrulama Hataları , daha önce Kimlik Doğrulama’yı Bozdu ve ikinci konumdan aşağıya doğru kayıyor ve şimdi daha çok tanımlama hatalarıyla ilgili CWE’leri içeriyor. Bu kategori hala İlk 10’un ayrılmaz bir parçası, ancak standartlaştırılmış çerçevelerin artan kullanılabilirliği yardımcı oluyor gibi görünüyor.

A08:2021-Yazılım ve Veri Bütünlüğü Arızaları , 2021 için yeni bir kategoridir ve bütünlüğü doğrulamadan yazılım güncellemeleri, kritik veriler ve CI/CD ardışık düzenleriyle ilgili varsayımlar yapmaya odaklanır. Bu kategorideki 10 CWE ile eşlenen CVE/CVSS verilerinden elde edilen en yüksek ağırlıklı etkilerden biri. 2017’den itibaren Güvensiz Seriyi Kaldırma artık bu daha büyük kategorinin bir parçası.

Y09:2021-Güvenlik Günlüğü ve İzleme Hataları daha önce Yetersiz Günlüğe Kaydetme ve İzleme idi ve daha önce 10 numara olan sektör araştırmasından (#3) eklendi. Bu kategori daha fazla hata türünü içerecek şekilde genişletildi, test edilmesi zor ve CVE/CVSS verilerinde iyi temsil edilmiyor. Ancak bu kategorideki hatalar görünürlüğü, olay uyarısını ve adli tıpı doğrudan etkileyebilir.

A10:2021-Sunucu Tarafı İstek Sahteciliği , sektör araştırmasından (#1) eklendi. Veriler, Sömürü ve Etki potansiyeli için ortalamanın üzerinde derecelendirmelerin yanı sıra ortalamanın üzerinde test kapsamıyla nispeten düşük bir olay oranı göstermektedir. Bu kategori, şu anda verilerde gösterilmese de sektör profesyonellerinin bize bunun önemli olduğunu söylediği senaryoyu temsil ediyor.

Metnin aslına ulaşmak için:

https://owasp.org/Top10/