OWASP Top 10 2013 报告
此报告显示在您的站点上发现的 OWASP Top 10 2013 问题。
OWASP Top Ten 2010 漏洞包括:
- 注入
- 中断的认证和会话管理 (Broken Authentication and Session Management)
- 跨站点脚本编制 (XSS)
- 不安全直接对象引用
- 安全性错误配置
- 敏感数据暴露
- 缺少函数级别访问控制
- 跨站点请求伪造 (CSRF)
- 使用具有已知漏洞的组件
- 未验证重定向和转发
它为什么重要
OWASP Top Ten 2013 是对 2010 版本的重大更新。它提供了一个更简明且以风险为重点的列表,其中列出了十大最为严重的 Web 应用程序安全风险及其评估方法。对于十大风险中的各项,均会提供一般可能性和后果因素,以便用于分类风险的典型严重性。项目经理应将针对应用程序安全性活动(包括开发者培训、应用程序安全策略开发、安全性机制设计和开发、渗透测试和安全代码复审)的时间和预算的时间和预算包含在处理风险的总体工作中。从 ASE 9.0.3.9 开始,OWASP 2013 报告将被 OWASP 2017 报告所替代。
OWASP 2017 的漏洞包括:
- 注入
- 中断的认证
- 敏感数据暴露
- XML 外部实体 (XXE)
- 中断的访问控制
- 安全性错误配置
- 跨站脚本 (XSS)
- 不安全反序列化
- 使用具有已知漏洞的组件
- 记录和监控不足
从 OWASP 2013 到 OWASP 2017 有哪些变化?
应用程序和 API 的威胁格局会不断发生变化。在这个发展的过程中,其关键因素是新技术(包括云、容器和 API)的快速采用、软件开发流程(如敏捷开发和 DevOps 等)的加速和自动化、第三方库和框架的爆炸式增长以及攻击者技术的提高。这些因素使得应用程序和 API 越来越难以分析,会明显改变威胁格局。要跟上这个节奏,OWASP 组织会定期更新 OWASP top 10。在 2017 版在以下各个方面发生了变化:- 将 2013-A4:“不安全直接对象引用”和 2013-A7:“缺少函数级别访问控制”合并到 2017-A5:“中断的访问控制”中。
- 删除了 2013-A8:“跨站点请求伪造 (CSRF)”,因为许多框架都包含了 CSRF 防御,只在 5% 的应用程序中发现这种情况。
- 删除了 2013-A10:“未验证重定向和转发”,虽然在大约 8% 的应用程序中有发现,总体上已被 XXE 取代。
- 添加了 2017-A4:“XML 外部实体 (XXE)”。
- 添加了 2017-A8:“不安全反序列化”。
- 添加了 2017-A10:“记录和监控不足”。注: 在 9.0.3.9 版之前创建的所有报告包都将提供 OWASP 2013 报告。如有需要,可以手动将其除去,并且用户可以添加 OWASP 2017 报告。