OWASP 发布了 2017 年前十大 Web 应用安全风险 开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来的首次更新。 “由于过去四年 Web 应用程序的快速发展,OWASP Top 10 也需要改变了。我们利用了一个新的数据调用流程,修改了方法,完全重构了OWASP Top 10。我们与社区合作,重新排列安全风险,并且引用了现在常用的框架和语言重写了每个风险。“OWASP 写道。 根据OWASP的统计,由于过去几年来微服务,单页面应用程序,以及JavaScript作为网页主要语言的主导地位发生的变化导致 Top 10 发生重大更新。 现在 Top10 包括:
XXE,不安全的反序列化和记录和监控不足风险是新进入 Top 10 的。失效的访问控制 是2013年就已经属于 Top 10 了。此外,OWASP 已经删除未经验证的重定向和转发, 并从Top 10 中删除了 CSRF 。 根据OWASP的说法,记录和监控不足风险 会导致远程代码执行,而且它让黑客能够持久的攻击系统。 许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。 为防御十大 Web 应用安全风险,OWASP 认为开发人员需要建立和使用可重复的流程和安全控制,安全测试人员需要建立连续的应用程序安全测试,应用程序管理人员需要从IT角度负责整个应用程序生命周期,整个组织需要有一个 Web 应用安全程序。 编译自:sdtimes |