10 nejčastejších zranitelností WEBU

Top 10 bezpečnostních rizik webových aplikací

Existují tři nové kategorie, čtyři kategorie se změnami pojmenování a rozsahu a určitá konsolidace v Top 10 pro rok 2021.

Nejčastější zranitelnosti webu

1. A01:2021-Broken Access Control se posouvá z páté pozice nahoru; 94 % aplikací bylo testováno na nějakou formu nefunkčního řízení přístupu. 34 Common Weakness Enumerations (CWE) mapovaných do Broken Access Control mělo v aplikacích více výskytů než kterákoli jiná kategorie.
2. A02:2021-Cryptographic Failures se posouvá o jednu pozici nahoru na číslo 2, dříve známé jako vystavení citlivým datům, což bylo spíše obecným příznakem než hlavní příčinou. Obnovený důraz je zde kladen na selhání související s kryptografií, která často vede k vystavení citlivých dat nebo kompromitaci systému.
3. A03:2021-Injection sklouzne dolů na třetí pozici. 94 % aplikací bylo testováno na nějakou formu vstřikování a 33 CWE mapovaných do této kategorie má druhý největší výskyt v aplikacích. Cross-site Scripting je nyní součástí této kategorie v tomto vydání.
4. A04:2021-Nezabezpečený design je nová kategorie pro rok 2021 se zaměřením na rizika související s chybami v designu. Pokud se jako odvětví skutečně chceme „posunout doleva“, vyžaduje to více používání modelování hrozeb, bezpečných návrhových vzorů a principů a referenčních architektur.
5. A05:2021-Security Misconfiguration se posouvá nahoru z #6 v předchozím vydání; 90 % aplikací bylo testováno na nějakou formu nesprávné konfigurace. S dalšími posuny do vysoce konfigurovatelného softwaru není divu, že se tato kategorie posouvá nahoru. Dřívější kategorie pro externí entity XML (XXE) je nyní součástí této kategorie.
6. A06:2021-Zranitelné a zastaralé komponenty byly dříve nazvány Používání komponent se známými zranitelnostmi a jsou na 2. místě v průzkumu komunity Top 10, ale také měly dostatek dat, aby se díky analýze dat dostaly do Top 10. Tato kategorie se v roce 2017 posunula z 9. místa a jedná se o známý problém, který se snažíme testovat a vyhodnocovat rizika. Je to jediná kategorie, která nemá žádné společné zranitelnosti a ohrožení (CVE) namapované na zahrnuté CWE, takže do jejich skóre jsou započítány výchozí váhy zneužití a dopadu 5,0.
7. A07:2021-Identification and Authentication Failures bylo dříve Broken Authentication a klesá z druhé pozice a nyní zahrnuje CWE, které se více týkají selhání identifikace. Tato kategorie je stále nedílnou součástí Top 10, ale zdá se, že pomáhá zvýšená dostupnost standardizovaných rámců.
8. A08:2021-Selhání integrity softwaru a dat je nová kategorie pro rok 2021, která se zaměřuje na vytváření předpokladů týkajících se aktualizací softwaru, důležitých dat a kanálů CI/CD bez ověřování integrity. Jeden z nejvyšších vážených dopadů dat Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapovaných na 10 CWE v této kategorii. Nezabezpečená deserializace z roku 2017 je nyní součástí této větší kategorie.
9. A09:2021-Selhání bezpečnostního protokolování a monitorování bylo dříve nedostatečné protokolování a monitorování a je přidáno z průmyslového průzkumu (č. 3), čímž se posunulo z předchozího čísla 10 nahoru. Tato kategorie je rozšířena tak, aby zahrnovala více typů poruch, je náročná na testování a není dobře zastoupena v datech CVE/CVSS. Selhání v této kategorii však může přímo ovlivnit viditelnost, upozornění na incidenty a forenzní analýzu.
10. A10:2021-Padělání požadavku na straně serveru je přidáno z 10 nejlepších komunitních průzkumů (č. 1). Data ukazují relativně nízkou míru výskytu s nadprůměrným pokrytím testováním spolu s nadprůměrným hodnocením potenciálu zneužití a dopadu. Tato kategorie představuje scénář, kdy nám členové bezpečnostní komunity říkají, že je to důležité, i když to v současnosti není v datech znázorněno.