OWASP 2010 top 10发布

jamesking · 发表于 2009-12-17 08:55:58

近日，OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10- 2010，目前正在全球寻求修正意见，正式版本预计在2010年上半年最终修订完成。在新版本的OWASP TOP10中主要由以下变化：
1. Top10的命名发生了变化。
  原先的Top10全称为“The top 10 most critical web application security vulnerabilities”，即“Web应用的十大关键脆弱性”，现在Top10的全称为“The top 10 most critical web application security risks”，即“Web应用的十大关键风险”
2. OWASP Top 10的风险评估方法
  此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。
3. 替换了2个风险
  此次Top 10与2007年的Top 10相比，在内容上主要是去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理)，增加了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and forwards”(未验证的重定向和传递)

OWASP TOP10 2007	OWASP TOP10 2010
A2-注入	A1-注入
A1-跨站脚本（XSS）	A2-跨站脚本（XSS）
A7-错误的认证和会话管理	A3-错误的认证和会话管理
A4-不正确的直接对象引用	A4-不正确的直接对象引用
A5-伪造跨站请求（CSRF）	A5-伪造跨站请求（CSRF）
	A6-安全性误配置
A10-限制远程访问失败	A7-限制远程访问失败
	A8-未验证的重定向和传递
A8-不安全的加密存储	A9-不安全的加密存储
A9-不足的传输层保护	A10-不足的传输层保护
A3-恶意文件执行
A6-不安全的通讯