网站被入侵,宁波妇科医生推荐,vs做网站应该新建什么,网页设计与网站建设有区别吗10大Web应用程序安全风险
2021年top10中有三个新类别、四个类别的命名和范围变化#xff0c;以及一些合并。
A02#xff1a;A02:2021-加密机制失效
上升一个位置#xff0c;当前top2#xff0c;以前称为敏感数据泄露#xff0c;是一种状况而不是根本原因。更新后的类别…10大Web应用程序安全风险
2021年top10中有三个新类别、四个类别的命名和范围变化以及一些合并。
A02A02:2021-加密机制失效
上升一个位置当前top2以前称为敏感数据泄露是一种状况而不是根本原因。更新后的类别侧重加密相关的故障这通常会导致敏感数据泄露或系统泄露。
已映射的CWE最大发生率平均发生率平均加权漏洞利用平均加权影响最大覆盖范围平均覆盖率总发生次数CVE 总数2946.44%4.49%7.296.8179.33%34.85%233,7883,075
什么是加密机制失效
由于传输过程中缺少加密或弱加密或者意外暴露敏感数据可能会发生加密失败情况。 首先确定传输中数据的保护需求和休息。例如密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护主要是如果该数据属于隐私法例如欧盟的通用数据保护条例GDPR或法规例如金融数据保护例如 PCI 数据安全标准PCI DSS。 属于隐私法的数据是否存在以明文传输的问题。 数据是否适用旧的较弱的加密算法和协议来加密。 收到的服务器证书和信任链是否经过验证。 设计加密机制是是否考虑随机性。
如何预防
针对这些漏洞的攻击通常特定于应用因此需要采用深度防御方法来缓解。 精细的 SSL 和 TLS 加密方式控制使用安全协议如 TLS加密传输中的所有数据 前向保密FS密码密码优先级由服务器和安全参数。使用指令强制加密如HTTP严格传输安全HSTS。
强制执行MFA/2FA保护API密钥强制执行API密钥轮替计算映像隐私强制执行SSH密钥规则安全启动监控API访问安全SSL政策监控已停用日志记录公共存储分区 ACL提醒 不要使用FTP和SMTP等传统协议进行传输敏感数据。 始终使用经过身份验证的加密而不仅仅是加密。 密钥应以加密方式随机生成并存储在内存作为字节数组。如果使用密码则必须转换密码 通过适当的密码库密钥派生函数到密钥。 为防止您的 Web 应用泄露敏感数据请确保不以明文形式发送密码。通过检查公开的 git 和 Apache Subversion 源代码库避免泄露可能造成破坏的原始源代码。这些扫描旨在涵盖特定 OWASP 十大控制措施。
A012021-访问控制中断
A02A02:2021-Cryptographic Failures
A032021-injection A042021-不安全设计 A052021-安全配置错误
