上一版 OWASP TOP10 发布于2013年,距今已有四年,全新的 OWASP Top10 将于今年发布。TOP10 2017 已于今年年中开始编制并发布 RC1 版,但因其中两条内容遭社区投票反对,重新开启征集,并在10月发布了其 RC2 版本。目前在做最终的意见收集,若无意外,正式版会在11月18日发布。
正如图中所示,2017 的问题和 2013 变化并不大。如果往更早的 2007 榜单翻,你甚至会发现仍然有4个相同的问题出现在榜单之上。这似乎在说明,Web 开发者其实是在一次又一次犯同样的错误?新的工具,新的开发模式的出现,并没有完全改变这一状况。甚至有一些人猜测和评论,犯同样错误的开发者并不是同一群开发者,而是因为 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。
OWASP TOP10 2017 RC2 包含内容如下:
-
A1 - 注入缺陷
-
A2 - 失效的身份认证和会话管理
-
A3 - 敏感数据泄露
-
A4 - XML 外部实体注入(XXE)
-
A5 - 无效的访问控制(合并于 2013 年的 A4 “不安全的直接对象引用”和 A7 “功能级访问控制功能缺失”)
-
A6 - 安全配置错误
-
A7 - 跨站脚本(XSS)
-
A8 - 不安全的反序列化
-
A9 - 使用含有已知漏洞的组件
-
A10 - 记录和监控不足
