2017 owasp top 10十大安全漏洞候选出炉，你怎么看？-尊龙凯时官方旗舰店

owasp（开放式web应用程序安全项目）近日公布2017 owasp top10（十大安全漏洞列表），增加了2个新分类。

背景介绍

owasp项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了web应用程序最可能、最常见、最危险的十大漏洞，可以帮助it公司和开发团队规范应用程序开发流程和测试流程，提高web产品的安全性。

owasp top 10是啥

owasp top 10提供：

10大最关键web应用安全隐患列表
针对每个安全隐患，owasp top 10将提供：

描述

示例漏洞

示例攻击

防范指南

owasp参考源及其他相关资源

新增分类

本周owasp公布了2017 owasp top10第一波候选名单，与2013年的列表相比，最大的不同点在于新出现的两种漏洞分类：

“不充足的攻击检测与预防”

“未受保护的api”

2017 owasp top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的，在2013的列表当中排在第十位。

新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置，owasp想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”，将两者归入“失效的访问控制”，而“失效的访问控制”则是2004列表中原有的分类。

以下是owasp提供的新分类描述：

“不充足的攻击检测与预防”：“大多数应用和api缺乏基本的能力，来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证，它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

“未受保护的api”：“现代的应用常常涉及富客户端应用程序和api，比如浏览器和移动app中的javascript，连接到其他某种api（soap/xml、rest/json、rpc、gwt等）。这些apt通常未受保护且存在多种漏洞。”

讨论

reddit上已经就新列表发起讨论，有些用户表示“不充足的攻击检测与预防”不应该被归类为漏洞。不知道会不会有足够多的用户能够让owasp改变新增这一分类的想法。

如果大家对这个提案有什么意见，都可以通过邮件向owasp-topten(at)lists.owasp.org或者dave.wichers(at)owasp.org（私人评论）提交，时间截止至6月30日。2017 owasp top10最终版本将于7月或8月公布。freebuf也将继续跟进这一列表的后续动态。