OWASP Top 10 2013 報告

這份報告顯示在您網站上找到的 OWASP Top 10 2013 問題。

OWASP Top Ten 2010 漏洞包括:

  1. Injection
  2. 鑑別階段作業管理中斷
  3. 跨網站 Scripting (XSS)
  4. 不安全的直接物件參照
  5. 不當安全配置
  6. 機密資料曝光
  7. 缺少功能層次的存取控制
  8. 偽造跨網站要求 (CSRF)
  9. 使用已知有漏洞的元件
  10. 未驗證的重新導向與轉遞

重要性

OWASP Top Ten 2013 是 2010 版本的重要更新。它提供簡潔並以風險為主的「前十大最重要 Web 應用程式安全風險」清單,以及其評量方式。這前十大項目都會提供大致的可能性和後果因素,以用來分類風險的一般嚴重性。專案經理應該納入應用程式安全活動的時間和預算,其中包括訓練開發人員、開發應用程式安全原則、設計和開發安全機制、進行滲透測試,以及複查安全程式碼,而這些都是致力解決風險過程中的一部分。

從 ASE 9.0.3.9 開始,OWASP 2013 報告取代為 OWASP 2017 報告。

OWASP 2017 漏洞包括:

  1. Injection
  2. 中斷的鑑別
  3. 機密資料曝光
  4. XML 外部實體 (XXE)
  5. 中斷的存取控制
  6. 不當安全配置
  7. 跨網站 Scripting (XSS)
  8. 不安全的序列化
  9. 使用已知有漏洞的元件
  10. 記載和監視不足

2013 到 2017 有哪些變更?

應用程式和 API 的威脅趨勢持續變更。這個發展的關鍵因素是快速採用新技術(包括雲端、儲存器和 API)、軟體開發程序的加速和自動化(例如 Agile 和 DevOps)、第三方程式庫和架構的展開,以及攻擊者的進展。這些因素經常會讓應用程式和 API 更難以分析,而且會大幅變更威脅趨勢。為了保持步調,OWASP 組織會定期更新 OWASP Top 10。在這個 2017 版本中,做了下列變更:
  • 合併 2013-A4:「不安全的直接物件參照」和 2013-A7:「缺少功能層次的存取控制」至 2017-A5:「中斷的存取控制」。
  • 捨棄 2013-A8:「偽造跨網站要求 (CSRF)」,因為許多架構都包含 CSRF 防禦,因此只在 5% 應用程式中發現此問題。
  • 捨棄 2013-A10:「未驗證的重新導向與轉遞」,在大約 8% 應用程式中發現這個問題,整體而言被 XXE 邊緣化。
  • 新增 2017-A4:「XML 外部實體 (XXE)」。
  • 新增 2017-A8:「不安全的序列化」。
  • 新增 2017-A10:「記載和監視不足」。
    註: 在 9.0.3.9 之前建立的所有報告套件範本具有 OWASP 2013 報告。如果需要,可以手動移除,且使用者可以新增 OWASP 2017 報告。