(11.23)2017年OWASP Top 10最終版本釋出
2017年OWASP Top 10最終版本釋出
在4月份,OWASP發不了2017年OWASP Top 10的首個候選版本,引人注目的是出現了兩個新類別的漏洞。
- 攻擊檢測和防範不足
- 未受保護的API
2017年OWASP Top 10是基於23個貢獻者的資料,涵蓋了114,000個應用程式。 OWASP在GitHub上釋出了報告相關的資料,這些類別是根據它們構成的風險來選擇的,那麼它們的安全風險又是什麼呢?
攻擊者可能會憑藉應用程式使用許多不同的手段來損害你的業務或組織,而每一種方式所帶來的風險有些能夠引起足夠的重視,而有些卻可能不夠重視。但是大多數時候這些漏洞很難找到,並且很難加以利用。
- 注入
- 認證失效
- 敏感資料洩露
- XML外部實體(XXE)
- 失效的訪問控制
- 安全配置不當
- XSS
- 不安全的反序列化
- 使用已知漏洞元件
- 日誌防範和攻擊檢測不足
其中,第四項不安全的直接物件引用和第七項功能級訪問控制缺失的合併為第五項失效的訪問控制。
OWASP將跨站點指令碼(XSS)單獨成類,同時刪除了跨站點請求偽造(CSRF)。由於發現CSRF的應用程式不到5%,同時只在8%左右的應用程式中發現未驗證的重定向和轉發,因此刪除了CSRF。
新新增的類包括XXE,不安全的反序列化和日誌防範和攻擊檢測不足,而後者對於許多組織來說是個嚴重的問題。
本文由看雪翻譯小組fyb波編譯。
相關文章
- Android O API 已釋出最終版本AndroidAPI
- 2021 OWASP Top 10釋出——Broken Access Control 躍居榜首
- 如何測試OWASP Top 10
- OWASP TOP 10 2021
- OWASP IoT Top 10 釋出,來看看物聯網安全的十大坑
- OWASP Top 10關鍵點記錄
- 最終版本
- 不和版本帝爭,16 年後 SciPy 1.0 版終釋出
- Kodi ‘Leia’ 18.2 最終版釋出
- 查普曼大學:2017年美國民眾最恐懼的事情TOP 10
- Java 8最終釋出日期敲定,即使有bug也要釋出Java
- 2017年全球最繁忙機場排行TOP 15
- 微軟釋出Win10 Build 17704:明確Sets功能不會出現在RS5最終版本中微軟Win10UI
- PHP框架Raxan1.0最終版釋出PHP框架
- .NET Core 2.0版本預計於2017年春季釋出
- LibreOffice 3.6 最終版 3.6.7 版釋出
- 為什麼 OWASP API 安全Top 10 對企業很重要API
- 網安雲知識 | OWASP TOP 10之安全配置錯誤
- Stuff:2017年最佳智慧手機TOP 10
- 最穩定可靠,PostgreSQL 12.1版本正式釋出!SQL
- Trendchaser:2017年全球最漂亮億萬女富豪TOP 10 三星董事長次女上榜
- HMS Core 6.10.0版本釋出公告
- 《福布斯》:2017年YouTube收入最高網紅主播TOP 10
- 開源專案buffalo2.0最終版正式釋出
- 微信釋出無現金生活畫像:微信支付最活躍TOP10城市排名
- StreamPark 2.0.0 重磅釋出,首個 Apache 版本終於來了!Apache
- Go 語言框架 Gin 終於釋出 v1.2 版本Go框架
- Spring 5的最後一個特性版本5.3釋出,4.3將於12月終止維護Spring
- Laravel-admin 釋出 1.6.10 版本Laravel
- Dapr v1.10.0 版本已釋出
- 騰訊釋出2017年程式碼報告
- Firefox 99 正式釋出,最後的兩位數版本Firefox
- 回顧 2017 年釋出的 10 個新資料庫系統資料庫
- Flutter Web Beta版本終於釋出了FlutterWeb
- 阿拉丁:2017年微信小程式 TOP100微信小程式
- Novell推SuSE Linux RC2 最終版近期釋出(轉)Linux
- 十年來網咖最熱門遊戲TOP10遊戲
- 2016年上半年全球熱門手機Top10釋出