注射仍然是Appsec在2017年的最大威胁

经过长时间的妊娠,开放beplay体育能用吗Web应用程序安全项目(OWASP)前10名终于在这里。而事实上应用程序安全标准现在包括三个新类别,注射已在2017年保持其风险图表的顶部。

最新的OWASP前10名代表自2013年以来漏洞排名的首次更新。根据报告的作者,修正案 - 包括添加XML外部实体((xxe),不安全的挑战,以及日志记录和监视不足 - 替换以前的条目现在被认为是“相对简单”的安全问题。

Owasp说:“在过去的四年中,变革加速了,并且需要改变前十名。”“在过去的几年中,应用程序的基本技术和架构发生了很大变化。”

与往年一样,注射仍然是最高的应用安全风险,随后是身份验证破裂。但是由于这三个新漏洞的到来,此后排名有所改组:

该项目解释了2017年前10名中的传入和即将爆发的风险要素:

新问题

A4:2017- XML外部实体(XXE)是一个新类别,主要由源代码分析安全测试工具支持
(SAST)数据集。

A8:2017- 不安全的避难所化,可以在受影响的平台上进行远程代码执行或敏感对象操纵。

A10:2017- 伐木和监视不足,缺乏可以预防或明显延迟恶意活动并违反
检测,事件响应和数字取证。

合并或退休(但不忘记)

A4-不安全的直接对象参考和A7失误功能级别访问控制合并为A5:2017破裂的访问控制。

A8- 跨站点伪造(CSRF),由于许多框架包括CSRF防御,因此仅在5%的应用中发现。

A10- 未验证的重定向和正向,虽然在大约8%的应用中发现,但XXE的整体却逐渐消失。

根据OWASP的说法,2017年的前十名代表了该项目有史以来最大的社区合作,这是由于500多个调查答复以及AppSEC行业前线的持续反馈。

当然,许多人会记得今年早些时候第10名草案引起的争议,该选秀要求在A7上包含一个名为“攻击保护不足”的新作品,这是一个补充全面批评由NetSec社区,随后从列表中删除。

除了打ic,OWASP前十名现在在这里。在采取了明确的措施解决今年的争议之后,作者称赞了2017年的漏洞,该漏洞将“最佳,最审查的应用程序安全标准最能获得” - 在该报告围绕整个行业流传时,策划该报告的影响会很有趣。