2017 OWASP Top 10十大安全漏洞候选出炉,你怎么看?
OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了2个新分类。
背景介绍
OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
OWASP Top 10是啥
OWASP Top 10提供:
10大最关键Web应用安全隐患列表
针对每个安全隐患,OWASP Top 10将提供:
描述
示例漏洞
示例攻击
防范指南
OWASP参考源及其他相关资源
新增分类
本周OWASP公布了2017 OWASP Top10第一波候选名单,与2013年的列表相比,最大的不同点在于新出现的两种漏洞分类:
“不充足的攻击检测与预防”
“未受保护的API”
2017 OWASP Top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的,在2013的列表当中排在第十位。
新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置,OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”,将两者归入“失效的访问控制”,而“失效的访问控制”则是2004列表中原有的分类。
以下是OWASP提供的新分类描述:
“不充足的攻击检测与预防”:“大多数应用和API缺乏基本的能力,来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证,它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”
“未受保护的API”:“现代的应用常常涉及富客户端应用程序和API,比如浏览器和移动App中的JavaScript,连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。”
讨论
Reddit上已经就新列表发起讨论,有些用户表示“不充足的攻击检测与预防”不应该被归类为漏洞。不知道会不会有足够多的用户能够让OWASP改变新增这一分类的想法。
如果大家对这个提案有什么意见,都可以通过邮件向OWASP-TopTen(at)lists.owasp.org或者dave.wichers(at)owasp.org(私人评论)提交,时间截止至6月30日。2017 OWASP Top10最终版本将于7月或8月公布。FreeBuf也将继续跟进这一列表的后续动态。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 奋力打开改革发展新天地 7970498
- 2 中方回应特朗普威胁收回巴拿马运河 7930356
- 3 刘强东提前发年终奖 7885903
- 4 “冷资源”里的“热经济” 7760872
- 5 汪小菲内涵大S 7679930
- 6 国足原主帅李铁已上诉 7554368
- 7 王鹤棣先天松弛感圣体 7430311
- 8 #胡锡进称目前回本了# 7336364
- 9 唐尚珺与初恋因反复复读分手 7296102
- 10 女生学殡葬后亲戚递红包手都发抖 7153944