新版OWASP TOP 10:这三类新型安全漏洞上榜
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月25日讯 本次开放Web应用程序安全项目披露的最新十大软件漏洞榜单为最终确定版,其中对今年早些时候发布的草案内容作出了部分修改,且包含三大新型安全漏洞类别。
这三大新型安全漏洞类别分别为:
这三大新型安全漏洞类别分别为:
XML外部实体(XML External Entity,简称XXE),此类安全漏洞亦为Billion Laughs攻击的根本来源。
不安全反序列化,Equifax公司正是由于未安装补丁以修复Apache Struts中的相关安全漏洞,才导致今年夏季发生大规模数据泄露事件。
这些新的漏洞类别源自OWASP呼吁之后,各方所提交的40多套漏洞数据集;此外,这一结果亦对面向安全社区成员发送的515份调查问卷邮件答复作出了总结。
另外,新增不良日志记录这一类别。
排名变化
排名变化
本次榜单中的前两名——注入漏洞(常见于SQL数据库)以及失败的身份验证与会话管理——与2013年发布的上轮结果相比仍然保持不变。
敏感数据泄漏问题则由原本的第六位上升至第三位,跨站脚本(简称XSS)则由原本的第三位下落至第七位。
在本次榜单当中,原本的两类安全漏洞——不安全的直接对象引用(第四位)与功能级访问控制缺失(第七位)——此番被合并为失效的访问控制(第五位)。
排名跌出前十的安全漏洞类别
以下两种安全漏洞类别则在新一轮排名中被挤出榜单前十位:
跨站请求伪造:该类漏洞在2013年版本当中位列第八,但目前在整理者收集到的新数据集中占比已经不足5%。目前排名为第十三位。
未验证的重新定向与转发:该类漏洞在2013年版本当中位列第十,但目前在整理者收集到的新数据集中占比已经不足1%,目前排名为第二十五。
此前于5月公布的草案曾经引起一场激烈的抗议,人们指责整理者与社交媒体之间存在裙带关系与腐败往来。相关作者随后辞职,而榜单更新任务则被交给另一支新团队负责打理。
这份榜单最初公布于2003年,且之后第三到四年进行一次更新。OWASP前十位榜单,现有版本为2013年发布,拟议版本则计划于2017年发布。OWASP方面亦指出,此份榜单是其网站当中下载量最大的文件。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1574350663.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容