OWASP Top 10 - 2017版本最终确认

2017年4月，OWASP发布了2017年OWASP Top 10的首个候选版本，此版本出现了两个新类别的漏洞，他们是： ·    攻击检测和防范不足 ·    未受保护的API

图：OWASP TOP 10 - 2017更新的内容 虽然XSS可被归为注入的一种，但因此类漏洞的解决方式与SQL和操作系统命令注入不同，而仍被留做单独的一类。 跨站请求伪造(CSRF)被从OWASP十大中移除，因为现代开发框架确保了此类漏洞可被避免，CSRF只在5%不到的应用中可见。未经验证的重定向和转发也被移除，因为它们只影响到约8%的应用。 不安全直接对象引用(IDOR)和功能级访问控制缺失，被合并为遭破坏的访问控制。 空出来的位置由XXE、不安全反序列化和日志及监视不足补上。近些年，关键反序列化漏洞在一些常见App中出现，它的上榜顺理成章。至于日志及监视不足，OWASP指出，很多公司都在这方面存在严重问题，这一点从很多重大数据泄露是由第三方而不是事发公司自身发现就可清晰看出。 OWASP还提到，虽然有些类别的名称没变，其覆盖的问题却发生了改变。比如说，敏感数据暴露就指的是隐私及个人信息暴露，而不是数据包头和堆栈跟踪信息泄露，而错误配置如今还包括了云相关问题，比如未受保护的存储容器（如AWS S3 存储桶）。 2017年OWASP Top 10是基于23个贡献者的数据，涵盖了114,000个应用程序。 OWASP在GitHub上发布了报告相关的数据，这些类别是根据它们构成的风险来选择的，那么它们的安全风险又是什么呢？该数据可从GitHub相关位置处(https://github.com/OWASP/Top10/tree/master/2017)获取。 来源：安恒信息