複選題
4. 下列哪些是目前 2021 版 OWASP Top 10 中所包含的前 10 種 常見風險類別?
(A) 權限控制失效(Broken Access Control)
(B) 跨站請求偽造(Cross-Site Request Forgery)
(C) 注入式攻擊(Injection)
(D) 加密機制失效(Cryptographic Failures)

答案:登入後查看
統計: A(504), B(271), C(523), D(413), E(0) #3102135

詳解 (共 3 筆)

#6316631
**答案:(A) (C) (D)**  
---
### 各選項解釋:
#### **(A) 權限控制失效(Broken Access Control)**  
**正確**。在 **2021 版 OWASP Top 10** 中,權限控制失效從 2017 版的第 **5 名** 躍升至 **第 1 名**,反映其高風險性。此類漏洞允許攻擊者繞過權限限制,例如:  
- 水平越權(存取他人資料)。  
- 垂直越權(普通用戶執行管理操作)。  
#### **(B) 跨站請求偽造(Cross-Site Request Forgery, CSRF)**  
**錯誤**。CSRF 在 **2017 版 OWASP Top 10** 中列為第 **8 名**,但在 **2021 版被移除**,主因是現代框架(如 Django、Spring)已內建防護機制(如 CSRF Token),且實務上攻擊發生率下降。  
#### **(C) 注入式攻擊(Injection)**  
**正確**。注入攻擊(如 SQL Injection、OS Command Injection)長期位居 OWASP Top 10,2021 版中仍為 **第 3 名**。攻擊者透過未驗證的輸入插入惡意指令,直接操控後端系統。  
#### **(D) 加密機制失效(Cryptographic Failures)**  
**正確**。此為 **2021 版新增項目**(原 2017 版的「敏感資料暴露」重新分類),列為 **第 2 名**。包含:  
- 使用弱加密演算法(如 MD5、SHA-1)。  
- 未加密傳輸敏感資料(如信用卡號、密碼)。  
- 金鑰管理不當(如硬編碼金鑰)。  
---
### 2021 版 OWASP Top 10 完整列表:
1. **Broken Access Control**(權限控制失效)  
2. **Cryptographic Failures**(加密機制失效)  
3. **Injection**(注入式攻擊)  
4. Insecure Design(不安全設計)  
5. Security Misconfiguration(安全設定錯誤)  
6. Vulnerable and Outdated Components(使用含漏洞的元件)  
7. Identification and Authentication Failures(身份驗證失效)  
8. Software and Data Integrity Failures(軟體與資料完整性失效)  
9. Security Logging and Monitoring Failures(安全日誌與監控失效)  
10. Server-Side Request Forgery(SSRF,伺服器端請求偽造)  
---
### 結論:
**正確答案為 (A)(C)(D)**。  
- **(B) CSRF** 已從 2021 版移除,因此不屬於當前 Top 10。  
- **(D) 加密機制失效** 是 2021 版新增的核心風險類別。
1
0
#6187529
ㅤㅤ
這篇有詳細介紹OWASP TOP 10:2021
0
0
#6188458
跨站請求偽造(Cross-Site Request Forgery) 被納入  Injection 攻擊之內
0
0

私人筆記 (共 3 筆)

私人筆記#5890873
未解鎖
以下是 2021 年公布的(B) 已經...
(共 1441 字,隱藏中)
前往觀看
2
0
私人筆記#5378259
未解鎖


(共 0 字,隱藏中)
前往觀看
1
0
私人筆記#6774062
未解鎖
截至目前,OWASP(開放式 Web ...
(共 861 字,隱藏中)
前往觀看
0
0