2017 OWASP Top 10最终版有哪些新变化？

翻译：360代码卫士团队

“2017 OWASP Top 10”最终版于周一发布，其中某些不再代表严重风险的漏洞类型已被替换为很可能带来重大威胁的问题。

OWASP在4月份就宣布首次发布“2017 OWASP Top 10”候选发布版本，自此，关于包含哪些内容的讨论就一直在持续。

跟2013年版本的OWASP Top 10最大的区别是，2017年版基于缺陷所带来的风险来选择缺陷类型。

2017年版OWASP Top 10中包含的漏洞是：注入、失效的身份认证、敏感信息泄露、XML外部实体 (XXE)、失效的访问控制、安全配置错误、跨站脚本 (XSS)、不安全的反序列化、使用含有已知漏洞的组件和不充分的记录和监管。

虽然可将XSS归为一种注入类型，但由于处理这种类型的问题方法跟SQL和OS命令注入不同，因此将其单独列为一类。

跨站点请求伪造 (CSRF) 已从列表中删除，原因是现代的开发框架确保会避免这些漏洞，只有不到5%的应用程序中才存在CSRF问题。由于仅影响8%左右的应用程序，因此将未经验证的重定向和转发问题也剔除。

不安全的直接对象引用 (IDOR) 和丢失的函数级别访问权限已合并为“失效的访问控制”。

2017年版本新增了XXE、不安全的反序列化和不充分的记录和监控三个类型。近年来，多款高级别app中都发现了严重的反序列化漏洞，因此它出现在列表中也不足为奇。至于记录和监控类型，OWASP组织表示很多组织机构在这个方面存在很严重的问题，从大量数据安全问题是由第三方而非目标组织机构本身发现的这一点就可佐证该判断。

OWASP表示，虽然一些类型的名称并未改变，但它们所涵盖的问题类型已发生变化。例如，“敏感数据泄露”指的是隐私和个人信息泄露，而非泄露头部和栈痕迹；配置错误问题现在也包含跟云相关的问题如未受保护的存储容器（如AWS S3桶）。

2017 OWASP Top 10基于来自23个贡献者的数据，涵盖超过11.4万款应用程序。这些数据已在GitHub上公开，而这也是OWASP组织力求更加透明的一种措施。

OWASP将开始着手准备下一份Top 10列表，预计在2020年发布。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

http://www.securityweek.com/final-version-2017-owasp-top-10-released