OWASP Top 10 2013 报告

此报告显示在您的站点上发现的 OWASP Top 10 2013 问题。

OWASP Top Ten 2010 漏洞包括:

  1. 注入
  2. 中断的认证和会话管理 (Broken Authentication and Session Management)
  3. 跨站点脚本编制 (XSS)
  4. 不安全直接对象引用
  5. 安全性错误配置
  6. 敏感数据暴露
  7. 缺少函数级别访问控制
  8. 跨站点请求伪造 (CSRF)
  9. 使用具有已知漏洞的组件
  10. 未验证重定向和转发

它为什么重要

OWASP Top Ten 2013 是对 2010 版本的重大更新。它提供了一个更简明且以风险为重点的列表,其中列出了十大最为严重的 Web 应用程序安全风险及其评估方法。对于十大风险中的各项,均会提供一般可能性和后果因素,以便用于分类风险的典型严重性。项目经理应将针对应用程序安全性活动(包括开发者培训、应用程序安全策略开发、安全性机制设计和开发、渗透测试和安全代码复审)的时间和预算的时间和预算包含在处理风险的总体工作中。

从 ASE 9.0.3.9 开始,OWASP 2013 报告将被 OWASP 2017 报告所替代。

OWASP 2017 的漏洞包括:

  1. 注入
  2. 中断的认证
  3. 敏感数据暴露
  4. XML 外部实体 (XXE)
  5. 中断的访问控制
  6. 安全性错误配置
  7. 跨站脚本 (XSS)
  8. 不安全反序列化
  9. 使用具有已知漏洞的组件
  10. 记录和监控不足

从 OWASP 2013 到 OWASP 2017 有哪些变化?

应用程序和 API 的威胁格局会不断发生变化。在这个发展的过程中,其关键因素是新技术(包括云、容器和 API)的快速采用、软件开发流程(如敏捷开发和 DevOps 等)的加速和自动化、第三方库和框架的爆炸式增长以及攻击者技术的提高。这些因素使得应用程序和 API 越来越难以分析,会明显改变威胁格局。要跟上这个节奏,OWASP 组织会定期更新 OWASP top 10。在 2017 版在以下各个方面发生了变化:
  • 将 2013-A4:“不安全直接对象引用”和 2013-A7:“缺少函数级别访问控制”合并到 2017-A5:“中断的访问控制”中。
  • 删除了 2013-A8:“跨站点请求伪造 (CSRF)”,因为许多框架都包含了 CSRF 防御,只在 5% 的应用程序中发现这种情况。
  • 删除了 2013-A10:“未验证重定向和转发”,虽然在大约 8% 的应用程序中有发现,总体上已被 XXE 取代。
  • 添加了 2017-A4:“XML 外部实体 (XXE)”。
  • 添加了 2017-A8:“不安全反序列化”。
  • 添加了 2017-A10:“记录和监控不足”。
    注: 在 9.0.3.9 版之前创建的所有报告包都将提供 OWASP 2013 报告。如有需要,可以手动将其除去,并且用户可以添加 OWASP 2017 报告。