# OWASP TOP 10 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 參考 - [首頁 - OWASP Top 10:2021](https://owasp.org/Top10/zh_TW/) ## Top 10:2021 ### A01:2021-Broken Access Control 跟權限管理有關 - BAC - IDOR - Git leak - Directory listing - Path Traversal - Privilege Escalation - 重放或竄改 token - CORS 錯誤配置 ### A02:2021-Cryptographic Failures 跟敏感資料洩漏有關 - 明碼傳輸 - 老舊或脆弱的加密演算法 - 預設、脆弱加密金鑰 - 非強制加密 - Google Dorking - Cache Poisoning ### A03:2021-Injection 跟注入式攻擊有關 - XSS - HTML Injection - CSS Injection - SQL Injeciton - NoSQL Injection - Command Injection - CRLF Injection - XML Injection ### A04:2021-Insecure Design 跟系統不設計、缺乏控制措施有關 - 降板攻擊 - 修改金額 ### A05:2021-Security Misconfiguration 跟設定上的缺陷有關 - XXE - 不必要的 port, service, account, privilege - Directory listing - Git leak - 預設帳號密碼 - 不必要的錯誤警告資訊 - 安全功能被關閉 - 缺乏安全標頭 ### A06:2021-Vulnerable and Outdated Components 跟過舊的元件有關 - log4j ### A07:2021-Identification and Authentication Failures 跟身份識別失效相關 - 撞庫 - 弱密碼 - 脆弱的回復或忘記密碼流程 - 無效的 MFA - URL 洩漏 session - 沒有註銷 session ### A08:2021-Software and Data Integrity Failures 跟軟體完整性有關 - deserialization - 不受信任來源外掛 - 不合適的 CI/CD 流程 - 缺乏充足完整性驗證的更新功能 - 供應鏈攻擊 ### A09:2021-Security Logging and Monitoring Failures 跟記錄及監控功能有關 - 未紀錄稽核事件 - 不充足警告或錯誤日誌 - 日誌僅儲存於本地端 ### A10:2021-Server-Side Request Forgery - SSRF