上周,2017 OWASP十大安全問題最終版發(fā)布,幾類不再呈現(xiàn)嚴重風險的漏洞,被更易造成重大威脅的問題所替代。
4月份的時候,OWASP就發(fā)布了2017十大安全問題候選初版,引發(fā)關(guān)于哪些該入選哪些不該入選的激烈爭論。與2013 OWASP十大安全問題相比,最突出的一個改變,是2017年上榜的漏洞類型為基于所帶來的風險而選出。
今年上榜的十大OWASP漏洞為:注入、破裂的驗證機制、敏感數(shù)據(jù)暴露、XML外部實體(XXE)、遭破壞的訪問控制、錯誤的安全配置、跨站腳本(XSS)、不安全反序列化、使用帶已知漏洞的組件,以及日志和監(jiān)視不足。
雖然XSS可被歸為注入的一種,但因此類漏洞的解決方式與SQL和OS指令注入不同,而仍被留做單獨的一類。
跨站請求偽造(CSRF)被從OWASP十大中移除,因為現(xiàn)代開發(fā)框架確保了此類漏洞可被避免,CSRF只在5%不到的應(yīng)用中可見。未經(jīng)驗證的重定向和轉(zhuǎn)發(fā)也被移除,因為它們只影響到約8%的應(yīng)用。
不安全直接對象引用(IDOR)和功能級訪問控制缺失,被合并為遭破壞的訪問控制。
空出來的位置由XXE、不安全反序列化和日志及監(jiān)視不足補上。近些年,關(guān)鍵反序列化漏洞在一些常見App中出現(xiàn),它的上榜順理成章。至于日志及監(jiān)視不足,OWASP指出,很多公司都在這方面存在嚴重問題,這一點從很多重大數(shù)據(jù)泄露是由第三方而不是事發(fā)公司自身發(fā)現(xiàn)就可清晰看出。
OWASP還提到,雖然有些類別的名稱沒變,其覆蓋的問題卻發(fā)生了改變。比如說,敏感數(shù)據(jù)暴露就指的是隱私及個人信息暴露,而不是數(shù)據(jù)包頭和堆棧跟蹤信息泄露,而錯誤配置如今還包括了云相關(guān)問題,比如未受保護的存儲容器(如AWS S3 存儲桶)。
2017 OWASP 十大安全問題基于覆蓋11.4萬應(yīng)用程序的23家貢獻者提供的數(shù)據(jù)。出于OWASP提高透明度的努力,該數(shù)據(jù)可從GitHub相關(guān)位置處(https://github.com/OWASP/Top10/tree/master/2017)獲取。
一段時間后,OWASP將開展下一輪十大安全問題遴選工作,初步安排是在2020年。