44. 下列哪一個漏洞未在 OWASP Cloud-Native Application Security Top 10 之中？
(A) Injection flaws
(B) Improper authentication & authorization
(C) Insecure secrets storage
(D) Server-Side Request Forgery

這題的正確答案是：

(D) Server-Side Request Forgery (SSRF)

解析

這題考的是 OWASP Cloud-Native Application Security Top 10（雲端原生應用程式安全十大風險）與傳統 OWASP Top 10（網頁應用程式安全）的區別。雖然 SSRF 在傳統 Web Top 10 (2021) 中排名第 10，但它並未列入雲端原生 (Cloud-Native) 的十大風險類別中。

根據 OWASP Cloud-Native Application Security Top 10 的官方列表，包含的項目如下：

• CNAS-1: Insecure cloud, container or orchestration configuration (不安全的雲端、容器或編排配置)

• CNAS-2: Injection flaws (注入缺陷 - 選項 A)

• CNAS-3: Improper authentication & authorization (不當的身分驗證與授權 - 選項 B)

• CNAS-4: CI/CD pipeline and software supply chain flaws (CI/CD 管道與軟體供應鏈缺陷)

• CNAS-5: Insecure secrets storage (不安全的密鑰儲存 - 選項 C)

• CNAS-6: Over-permissive or insecure network policies (過度寬鬆或不安全的網路策略)

• CNAS-7: Using components with known vulnerabilities (使用已知漏洞的元件)

• CNAS-8: Improper assets management (資產管理不當)

• CNAS-9: Inadequate compute resource quota limits (運算資源配額限制不足)

• CNAS-10: Ineffective logging and monitoring (無效的日誌記錄與監控)

其他選項分析

• (A) Injection flaws (CNAS-2)：

  • 在雲端原生環境中，注入攻擊依然存在，且範圍擴大到 Cloud Events 或 Serverless 函數的輸入參數。

• (B) Improper authentication & authorization (CNAS-3)：

  • 由於雲端原生架構（如 Microservices）高度依賴 API 呼叫，服務對服務（Service-to-Service）的驗證與授權變得極為關鍵且容易出錯。

• (C) Insecure secrets storage (CNAS-5)：

  • 這在雲端環境是極高風險。開發者常不小心將 API Key、AWS Credential 硬寫在程式碼或 Dockerfile 中，導致重大外洩。