2017 OWASP TOP 10安全風險發布首個預選版本

開放式Web應用程序安全項目（OWASP，Open Web Application Security Project）是國際知名安全組織，它提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息。OWASP目前全球有130個分會近萬名會員，其主要目標是研議協助解決Web軟體安全標準、工具與技術文件，長期致力於協助政府和企業了解並改善網頁應用程序與網頁服務的安全性。

OWASP每隔一段時間就會更新當下10個最關鍵的Web應用安全問題清單，即「OWASP Top 10」，這是針對Web應用安全問題的一個影響力極大的清單。

因為，OWASP TOP10中列出的是十大最有可能發生的Web漏洞，而不是某些具體的攻擊行為，為計算機和互聯網應用程序安全提供了非常全面、權威的數據信息，可以有效地幫助企業了解並改善其web應用程序及web服務安全性。

本周，開放式Web應用程序安全項目（OWASP）提交了「2017年 OWASP TOP 10」的首個預選版本，主要的新奇之處在於其中包含的2個新分類。

OWASP Top 10 – 2017版本中推出的兩個新分類為：

「攻擊檢測和防禦不足」;

「未受保護的API」;

下表左邊是2013年的清單，右邊是2017年的清單。可以看出改變的地方如下所示：

觀察上圖變化我們發現：「未受保護的API」取代的是在2013年進入「OWASP Top 10」的「未經驗證的重定向和轉發」安全威脅，該分類在2013年發布的列表中排名第10位。

而通過合并2013年排名第4的「不正確的直接對象引用」和排名第7的「函數級訪問控制缺失」（合并後的分類被命名為「失效的訪問控制」，恢復成2003/2004年的分類名），為2017年版本中的「攻擊檢測與防禦不足」騰出了位置，成功進入到第7名的位置。

以下為OWASP為新分類提供的相關描述：

「攻擊保護不足」：大多數應用程序和API缺乏檢測、預防和響應手動以及自動化攻擊的能力。攻擊防護遠遠不止基本的輸入驗證，還涉及自動化檢測、記錄日誌、響應，甚至封鎖漏洞利用嘗試。應用程序開發者還要能夠快速部署安全補丁來有效地防範攻擊。

「未受保護的API」：現代應用程序通常涉及客戶端應用程序和API，例如瀏覽器和移動應用中連接某種形式（如SOAP/XML、REST/JSON、RPC、GWT等）API中的JavaScript。這些API通常是未受保護的，且包含大量安全漏洞。

本文內容翻譯自securityaffairs

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！