OWASP发布了2017年十大Web应用安全风险

开放 Web 应用安全项目组织（OWASP）正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来的首次更新。

“由于过去四年 Web 应用程序的快速发展，OWASP Top 10 也需要改变了。我们利用了一个新的数据调用流程，修改了方法，完全重构了OWASP Top 10。我们与社区合作，重新排列安全风险，并且引用了现在常用的框架和语言重写了每个风险。“OWASP 写道。

根据OWASP的统计，由于过去几年来微服务，单页面应用程序，以及JavaScript作为网页主要语言的主导地位发生的变化导致 Top 10 发生重大更新。

现在 Top10 包括：

1. 注入（Injection）

2. 破坏身份认证（Broker Authentication）

3. 敏感数据泄露（Sensitive Data Exposure）

4. XML外部处理器漏洞（XXE）

5. 失效的访问控制（Broken Access Control）

6. 安全配置错误（Security Misconfiguration）

7. 跨站脚本攻击（XSS）

8. 不安全的反序列化（Insecure Deserialization）

9. 使用含有已知漏洞的组件C（Using Components with Known Vulnerabilities）

10. 记录和监控不足风险（Insufficient Logging and Monitoring）

XXE，不安全的反序列化和记录和监控不足风险是新进入 Top 10 的。失效的访问控制 是2013年就已经属于 Top 10 了。此外，OWASP 已经删除未经验证的重定向和转发， 并从Top 10 中删除了 CSRF 。

根据OWASP的说法，记录和监控不足风险 会导致远程代码执行，而且它让黑客能够持久的攻击系统。

许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件，比如使用文件URI handler，内部文件共享，内部端口扫描，远程代码执行和拒绝服务攻击。

为防御十大 Web 应用安全风险，OWASP 认为开发人员需要建立和使用可重复的流程和安全控制，安全测试人员需要建立连续的应用程序安全测试，应用程序管理人员需要从IT角度负责整个应用程序生命周期，整个组织需要有一个 Web 应用安全程序。

编译自：sdtimes