OWASP—Top10（2021知识总结）

OWASP top10

2021年版TOP 10产生三个新类别，且进行了一些整合

考虑到应关注根本原因而不是症状。

A01：失效的访问控制

从第五位上升称为Web应用程序安全风险最严重的类别，常见的CWE包括：将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造（csrf）

风险说明：

访问强制实施策略，使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露，修改或者销毁所有数据，或在用户权限之外执行业务功能。

常见的访问控制脆弱点：

• 违法最小权限原则或默认拒绝原则，即访问权限应只授予特定能力、角色或用户，但实际上任何人都可以访问
• 通过修改URL（参数修改或强制浏览），内部应用程序状态或者HTML页面，或者使用修改API请求的攻击工具绕过访问控制检查
• 通过提供唯一的标识符允许查看或编辑他人账户
• API没有对POST、PUT和DELETE强制执行访问控制
• 特权提升，在未登陆的情况下假扮用户或以用户身份登入时充当管理员

…

预防措施

开发人员和QA人员应进行访问控制功能的单元测试和集成测试

访问控制只在受信服务器端代码或者无服务器API中有效ÿ