51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1471|回复: 2
打印 上一主题 下一主题

2017 OWASP 10大安全漏洞初版提案出炉:新增2大漏洞类型

[复制链接]
  • TA的每日心情
    擦汗
    昨天 09:02
  • 签到天数: 1042 天

    连续签到: 4 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2017-4-18 15:33:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    4月10日,开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版,提出了2个新的漏洞类型。


    2个新分类分别是:“攻击检测与预防不足”和“未受保护的API”。
    给“未受保护的API”让位的,是在2010年进入“10大”的“未经验证的重定向和转发”,该分类在当前(2013)列表中排名第10。
    “攻击检测与预防不足”被添加到第7的位置,通过合并当前排名第4的“不安全直接对象引用”和排名第7的“函数级访问控制缺失”腾出空间,合并后的分类被命名为“失效的访问控制”——恢复到2004年的分类名。


    OWASP对新“攻击防护不足”分类的描述是:“大多数应用和API缺乏检测、预防和响应手动或自动化攻击的能力。攻击防护远不止基本输入验证,涉及自动化检测、记录、响应,甚至封锁漏洞利用尝试。应用所有者还要能快速部署安全补丁以防护攻击。”
    Reddit上的讨论中,有用户称“攻击防护不足”不应该被归为漏洞。是否有足够的用户支持让OWASP改变创建新分类的想法,还有待观察。
    至于“未受保护的API”分类,OWASP称:“现代应用常涉及富客户端应用程序和API,比如浏览器和手机App中连接某种形式(SOAP/XML、REST/JSON、RPC、GWT等)API的JavaScript。这些API往往是未受保护的,且内含大量漏洞。”
    6月30日之前,可往OWASP-TopTen@lists.owasp.orgdave.wichers@owasp.org(私信)发送邮件,提交针对 2017年10大安全漏洞的评论。最终版本将在今年7月或8月正式公布。


    前10大风险因素汇总
    转载自安全牛

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 07:47 , Processed in 0.063781 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表