2017年OWASP Top 10最终版本发布

在4月份，OWASP发不了2017年OWASP Top 10的首个候选版本，引人注目的是出现了两个新类别的漏洞。

• 攻击检测和防范不足
• 未受保护的API

2017年OWASP Top 10是基于23个贡献者的数据，涵盖了114,000个应用程序。 OWASP在GitHub上发布了报告相关的数据，这些类别是根据它们构成的风险来选择的，那么它们的安全风险又是什么呢？

攻击者可能会凭借应用程序使用许多不同的手段来损害你的业务或组织，而每一种方式所带来的风险有些能够引起足够的重视，而有些却可能不够重视。但是大多数时候这些漏洞很难找到，并且很难加以利用。

OWASP Top 10 2017 包括：

• 注入
• 认证失效
• 敏感数据泄露
• XML外部实体（XXE）
• 失效的访问控制
• 安全配置不当
• XSS
• 不安全的反序列化
• 使用已知漏洞组件
• 日志防范和攻击检测不足

其中，第四项不安全的直接对象引用和第七项功能级访问控制缺失的合并为第五项失效的访问控制。

OWASP将跨站点脚本（XSS）单独成类，同时删除了跨站点请求伪造（CSRF）。由于发现CSRF的应用程序不到5％，同时只在8％左右的应用程序中发现未验证的重定向和转发，因此删除了CSRF。

新添加的类包括XXE，不安全的反序列化和日志防范和攻击检测不足，而后者对于许多组织来说是个严重的问题。

原文链接

本文由看雪翻译小组fyb波编译。