目前最新版, 預計2025年夏末/初秋發布OWASP Top 10:2025
| 項次 | 名稱 | 中文翻譯 | 說明 |
|---|---|---|---|
| A01:2021 | Broken Access Control | 存取控制失敗 | 使用者可以存取本不該取得的資料或功能,例如未授權的 API 或管理端點。是最常見的網站漏洞之一。 |
| A02:2021 | Cryptographic Failures(原名:Sensitive Data Exposure) | 加密失敗 | 敏感資料(如密碼、信用卡號)在傳輸或儲存時未妥善加密,導致資料外洩。 |
| A03:2021 | Injection | 程式碼注入 | 最常見如 SQL Injection,也包含 Command Injection、LDAP Injection 等。攻擊者透過不當輸入操控後端指令。 |
| A04:2021 | Insecure Design | 不安全的設計 | 應用程式設計時缺乏資安思維,導致系統本質就存在風險,如權限控管缺漏。 |
| A05:2021 | Security Misconfiguration | 安全設定錯誤 | 常見如預設帳密未修改、開啟多餘功能、錯誤伺服器設定等。 |
| A06:2021 | Vulnerable and Outdated Components | 使用有漏洞或過時的元件 | 套件或函式庫未更新,存在已知漏洞但未修補。 |
| A07:2021 | Identification and Authentication Failures(原名:Broken Authentication) | 身分認證失敗 | 密碼管理、Session、OAuth、JWT 實作不當,可能造成冒用或繞過身份驗證。 |
| A08:2021 | Software and Data Integrity Failures | 軟體與資料完整性失敗 | 缺乏對關鍵元件(如更新檔、CI/CD pipeline)的完整性驗證,可能導致供應鏈攻擊。 |
| A09:2021 | Security Logging and Monitoring Failures | 安全日誌與監控失敗 | 未妥善記錄系統事件與攻擊行為,導致無法即時偵測與回應資安事件。 |
| A10:2021 | Server-Side Request Forgery (SSRF) | 伺服端請求偽造 | 攻擊者誘使伺服器向內部資源發送請求,可用來繞過防火牆、查探內部系統。 |
| 類型 | 對應防禦作法 |
|---|---|
| 存取控制 | 實作基於角色(RBAC)的授權、Zero Trust 原則 |
| 加密 | 使用 HTTPS、TLS 1.2+、AES-256、不可逆雜湊 |
| 程式碼注入 | 使用參數化查詢(如 ORM)、輸入驗證 |
| 安全設計 | 安全開發生命週期(SDL)、威脅建模 |
| 安全設定 | 定期檢查設定、自動化部署時加入資安設定腳本 |
| 套件更新 | 定期套件掃描、使用 SCA 工具(如 OWASP Dependency-Check) |
| 認證管理 | 強密碼策略、多因素認證、Session 控管 |
| CI/CD 安全 | 使用簽章驗證、限制部署權限 |
| 日誌監控 | 導入 SIEM 系統、設計 SOC 監控流程 |
| SSRF 防範 | 限制伺服器能連的外部網域、白名單機制 |
CVE:Common Vulnerabilities and Exposures(常見漏洞與風險編號)
CVSS:Common Vulnerability Scoring System(共通漏洞評分系統)
CWE:Common Weakness Enumeration(弱點種類)
iThome鐵人賽
看影片追技術