近日,OWASP发布了最新的Web应用脆弱性的top 10,这是继2007年OWASP对TOP10进行修订后进行的又一次更改,该版本暂定为OWASP TOP 10- 2010,目前正在全球寻求修正意见,正式版本预计在2010年上半年最终修订完成。在新版本的OWASP TOP10中主要由以下变化:
1. Top10的命名发生了变化。
原先的Top10全称为“The top 10 most critical web application security vulnerabilities”,即“Web应用的十大关键脆弱性”,现在Top10的全称为“The top 10 most critical web application security risks”,即“Web应用的十大关键风险”
2. OWASP Top 10的风险评估方法
此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。
3. 替换了2个风险
此次Top 10与2007年的Top 10相比,在内容上主要是去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理),增加了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and forwards”(未验证的重定向和传递)