(11.23)2017年OWASP Top 10最終版本釋出
2017年OWASP Top 10最終版本釋出
在4月份,OWASP發不了2017年OWASP Top 10的首個候選版本,引人注目的是出現了兩個新類別的漏洞。
- 攻擊檢測和防範不足
- 未受保護的API
2017年OWASP Top 10是基於23個貢獻者的資料,涵蓋了114,000個應用程式。 OWASP在GitHub上釋出了報告相關的資料,這些類別是根據它們構成的風險來選擇的,那麼它們的安全風險又是什麼呢?
攻擊者可能會憑藉應用程式使用許多不同的手段來損害你的業務或組織,而每一種方式所帶來的風險有些能夠引起足夠的重視,而有些卻可能不夠重視。但是大多數時候這些漏洞很難找到,並且很難加以利用。
- 注入
- 認證失效
- 敏感資料洩露
- XML外部實體(XXE)
- 失效的訪問控制
- 安全配置不當
- XSS
- 不安全的反序列化
- 使用已知漏洞元件
- 日誌防範和攻擊檢測不足
其中,第四項不安全的直接物件引用和第七項功能級訪問控制缺失的合併為第五項失效的訪問控制。
OWASP將跨站點指令碼(XSS)單獨成類,同時刪除了跨站點請求偽造(CSRF)。由於發現CSRF的應用程式不到5%,同時只在8%左右的應用程式中發現未驗證的重定向和轉發,因此刪除了CSRF。
新新增的類包括XXE,不安全的反序列化和日誌防範和攻擊檢測不足,而後者對於許多組織來說是個嚴重的問題。
本文由看雪翻譯小組fyb波編譯。
相關文章
- 2021 OWASP Top 10釋出——Broken Access Control 躍居榜首
- OWASP TOP 10 2021
- 如何測試OWASP Top 10
- OWASP IoT Top 10 釋出,來看看物聯網安全的十大坑
- OWASP Top 10關鍵點記錄
- Kodi ‘Leia’ 18.2 最終版釋出
- 微軟釋出Win10 Build 17704:明確Sets功能不會出現在RS5最終版本中微軟Win10UI
- PHP框架Raxan1.0最終版釋出PHP框架
- 網安雲知識 | OWASP TOP 10之安全配置錯誤
- 為什麼 OWASP API 安全Top 10 對企業很重要API
- Spring 5的最後一個特性版本5.3釋出,4.3將於12月終止維護Spring
- 最穩定可靠,PostgreSQL 12.1版本正式釋出!SQL
- Firefox 99 正式釋出,最後的兩位數版本Firefox
- StreamPark 2.0.0 重磅釋出,首個 Apache 版本終於來了!Apache
- Python 潮流週刊#72:Python 3.13.0 最終版已釋出!(摘要)Python
- Flutter Web Beta版本終於釋出了FlutterWeb
- PostgreSQL10高可用本地SSD盤版本釋出SQL
- Postgres-XL 10R1 release版本釋出
- jQuery 釋出 3.4.0 版本jQuery
- Rust 1.83.0 版本釋出Rust
- IntelliJ IDEA 2020.3正式釋出,年度最後一個版本很講武德IntelliJIdea
- 阿里巴巴釋出全球最強AI晶片,芯雲戰略終成型!阿里AI晶片
- Google 釋出 Android 6.0 SDK & Android M 開發者預覽最終版GoAndroid
- SOA新版本釋出
- openGauss 2.0.0 版本正式釋出
- Tomcat深入淺出——最終章(六)Tomcat
- [版本釋出]ThinkOX V1正式版釋出【版本號V1.0.2】
- Flutter終將逆襲!1.2版本釋出,或將統一江湖Flutter
- 最新訊息稱微軟將在本週推出Win10 2004最終版本微軟Win10
- 11.23 週六
- Apache Doris 1.2.4 Release 版本正式釋出|版本通告Apache
- 優麒麟 14.04.6 LTS 版本釋出!
- Laravel-admin 釋出 1.6.10 版本Laravel
- Apache Doris 2.0.5 版本正式釋出Apache
- Apache Doris 2.0.5 版本正式釋出!Apache
- Apache Doris 2.0.4 版本正式釋出Apache
- Apache Doris 2.0.3 版本正式釋出Apache
- Android Studio 4.1 Canary 版本釋出Android
- yiigo 3.x 版本釋出Go