OWASP Top10 2021 完整版:与 SAST 适配的深度解析
目录
A01 Broken Access Control
A02 Cryptographic Failures
A03 Injection
A04 Insecure Design
A05 Security Misconfiguration
A06 Vulnerable and Outdated Components
A07 Identification and Authentication Failures
A08 Software and Data Integrity Failures
A09 Security Logging and Monitoring Failures
A10 Server-Side Request Forgery (SSRF)
A01 Broken Access Control
失效的访问控制(丧失授权控制)
- 定义:未正确校验权限,攻击者可越权访问/操作未授权数据。
- 通俗理解:权限没管住,谁改个参数就能乱看乱改。
- 超详细例子:
- 用户登录后访问:
/user/detail?userId=1001
看到自己信息。
- 把userId=1001改成userId=1002,不需要任何额外权限,直接看到别人的姓名、手机号、身份证。
- 普通用户直接访问/admin/delUser,能删除任意账号,后端完全没校验是否是管理员。
- 关键点:OWASP 排名第一,危害最大。
- 和 SAST 关系:SAST 重点扫描,检查接口是否校验用户身份、数据归属、角色权限。
A02 Cryptographic Failures
密码学失效
- 定义:加密、脱敏、哈希算法使用不当,导致数据泄露、可破解。
- 通俗理解:数据没穿衣服,裸奔。
- 超详细例子:
- 密码明文存在数据库里,被脱库后所有人密码直接泄露。
- 接口传输身份证、银行卡号不加密,HTTP 明文传输。
- 使用已被破解的弱加密算法,如 MD5 存密码。
- 关键点:属于数据安全,合规必查(等保、隐私合规)。
- 和 SAST 关系:扫描是否使用弱加密、硬编码密钥、敏感数据明文传输。
A03 Injection
注入攻击
- 定义:用户输入被当作代码/命令执行。
- 通俗理解:你说的话,被系统当成命令执行了。
- 超详细例子:
- SQL 注入
前端输入用户名:' or 1=1 --
后端直接拼 SQL:
SELECT * FROM user WHERE name='$name'
结果变成:
SELECT * FROM user WHERE name='' or 1=1 --'
直接查到所有用户数据。
- 命令注入
上传文件时文件名带| rm -rf /,服务器直接执行删库命令。
- XSS(也算注入)
输入<script>stealCookie()</script>,页面直接执行偷 cookie 代码。
- 关键点:最经典、最容易出现、SAST 最擅长识别。
- 和 SAST 关系:污点分析核心场景:用户输入 → 直接拼SQL/执行命令。
A04 Insecure Design
不安全设计
- 定义:从产品、架构、流程上就缺少安全逻辑。
- 通俗理解:不是代码写错,是一开始就没考虑安全。
- 超详细例子:
- 转账接口不校验余额,可转负数、可超支。
- 短信验证码不限制次数,可无限刷。
- 密码找回只靠手机号,不校验是否本人操作。
- 接口没有频率限制,可被暴力破解。
- 关键点:属于架构安全,不是靠改一行代码能修复。
- 和 SAST 关系:SAST 很难完全扫描,更多靠安全设计评审。
A05 Security Misconfiguration
安全配置错误
- 定义:框架、服务器、应用安全配置不当。
- 通俗理解:门没锁,窗户开着,默认密码没改。
- 超详细例子:
- 生产环境开启 DEBUG 模式,报错直接暴露数据库账号密码。
- 中间件用默认账号密码:admin/admin。
- 跨域配置 CORS 允许*,任何网站都能调用接口。
- 目录可浏览,直接下载源码、配置文件。
- 关键点:90% 公司都出现过,极易被自动化工具扫描到。
- 和 SAST 关系:SAST 可扫描配置文件、代码中的不安全配置。
A06 Vulnerable and Outdated Components
使用已知漏洞的组件
- 定义:使用存在公开漏洞的第三方库、框架、中间件且不升级。
- 通俗理解:用了有漏洞的旧版本,别人拿着公开攻略就能打穿。
- 超详细例子:
- 使用存在反序列化漏洞的 Fastjson 旧版。
- 使用有远程代码执行的 Struts2、Shiro 旧版。
- 依赖的包 3 年没更新,漏洞一堆。
- 关键点:属于供应链安全,等保必查。
- 和 SAST 关系:SAST + SCA(依赖成分分析)一起检测。
A07 Identification and Authentication Failures
认证与识别失效
- 定义:登录、会话、Token 机制不安全。
- 通俗理解:登录系统太烂,谁都能冒充别人登录。
- 超详细例子:
- 允许 123456、111111 这种弱密码。
- 会话ID 不更新,登录前后一样,容易会话劫持。
- Cookie 没设置 HttpOnly,JS 可读取。
- 登录接口不限制次数,可暴力破解。
- 关键点:所有登录系统必查。
- 和 SAST 关系:扫描会话、Token、密码策略、Cookie 配置。
A08 Software and Data Integrity Failures
软件与数据完整性失效
- 定义:未校验数据/软件是否被篡改,信任不可信来源。
- 通俗理解:东西被偷偷改了,系统也不知道。
- 超详细例子:
- 插件/升级包不校验签名,黑客放木马插件也能安装。
- 支付金额前端传,后端不校验,可改成 0.01 元。
- 反序列化数据不校验,被构造恶意数据执行代码。
- 关键点:偏底层安全、数据可信性。
- 和 SAST 关系:扫描是否校验签名、是否使用不安全反序列化。
A09 Security Logging and Monitoring Failures
安全日志与监控不足
- 定义:不记日志、日志不全、有日志不看,被攻击无感知。
- 通俗理解:被偷家了,还不知道门被开了。
- 超详细例子:
- 登录失败不记日志,暴力破解完全无感知。
- 管理员操作、删除数据不留痕。
- 日志只存本地,不持久化,被攻击后日志被清空。
- 关键点:安全运营、应急响应基础。
- 和 SAST 关系:检查关键操作是否打日志。
A10 Server-Side Request Forgery (SSRF)
服务端请求伪造
- 定义:服务器发起网络请求,但 URL 由用户控制。
- 通俗理解:服务器被你“指挥”去访问内部网站,泄露内网信息。
- 超详细例子:
- 上传头像时后端写:
downloadImage(url)
- 用户传入:
http://127.0.0.1:8080/actuator/env
- 服务器去访问本机内部接口,直接泄露配置、密钥、服务信息。
- 攻击云服务器元数据地址,拿到临时密钥。
- 关键点:内网渗透第一高危漏洞。
- 和 SAST 关系:SAST 典型高危规则:用户可控 URL → 发起 HTTP 请求。