OWASP Top 10 - 2017版本最終確認

2017年4月，OWASP發布了2017年OWASP Top 10的首個候選版本，此版本出現了兩個新類別的漏洞，他們是： ·    攻擊檢測和防范不足 ·    未受保護的API

圖：OWASP TOP 10 - 2017更新的內容 雖然XSS可被歸為注入的一種，但因此類漏洞的解決方式與SQL和操作系統命令注入不同，而仍被留做單獨的一類。 跨站請求偽造(CSRF)被從OWASP十大中移除，因為現代開發框架確保了此類漏洞可被避免，CSRF只在5%不到的應用中可見。未經驗證的重定向和轉發也被移除，因為它們只影響到約8%的應用。 不安全直接對象引用(IDOR)和功能級訪問控制缺失，被合并為遭破壞的訪問控制。 空出來的位置由XXE、不安全反序列化和日志及監視不足補上。近些年，關鍵反序列化漏洞在一些常見App中出現，它的上榜順理成章。至于日志及監視不足，OWASP指出，很多公司都在這方面存在嚴重問題，這一點從很多重大數據泄露是由第三方而不是事發公司自身發現就可清晰看出。 OWASP還提到，雖然有些類別的名稱沒變，其覆蓋的問題卻發生了改變。比如說，敏感數據暴露就指的是隱私及個人信息暴露，而不是數據包頭和堆棧跟蹤信息泄露，而錯誤配置如今還包括了云相關問題，比如未受保護的存儲容器（如AWS S3 存儲桶）。 2017年OWASP Top 10是基于23個貢獻者的數據，涵蓋了114,000個應用程序。 OWASP在GitHub上發布了報告相關的數據，這些類別是根據它們構成的風險來選擇的，那么它們的安全風險又是什么呢？該數據可從GitHub相關位置處(https://github.com/OWASP/Top10/tree/master/2017)獲取。 來源：安恒信息