新闻快讯
< >

新版OWASP榜单:这三类新型安全漏洞提上前十

E安全10月25日讯 本次开放Web应用程序安全项目披露的最新十大软件漏洞榜单为最终确定版,其中对今年早些时候发布的草案内容作出了部分修改,且包含三大新型安全漏洞类别。

新版OWASP榜单:这三类新型安全漏洞提上前十-E安全

这三大新型安全漏洞类别分别为:

XML外部实体(XML External Entity,简称XXE),此类安全漏洞亦为Billion Laughs攻击的根本来源。

不安全反序列化,Equifax公司正是由于未安装补丁以修复Apache Struts中的相关安全漏洞,才导致今年夏季发生大规模数据泄露事件。

这些新的漏洞类别源自OWASP呼吁之后,各方所提交的40多套漏洞数据集;此外,这一结果亦对面向安全社区成员发送的515份调查问卷邮件答复作出了总结。

另外,还新增不良日志记录这一类别。

排名变化

本次榜单中的前两名——注入漏洞(常见于SQL数据库)以及失败的身份验证与会话管理——与2013年发布的上轮结果相比仍然保持不变。

敏感数据泄漏问题则由原本的第六位上升至第三位,跨站脚本(简称XSS)则由原本的第三位下落至第七位。

在本次榜单当中,原本的两类安全漏洞——不安全的直接对象引用(第四位)与功能级访问控制缺失(第七位)——此番被合并为失效的访问控制(第五位)。

QQ图片20171027100655.png

排名跌出前十的安全漏洞类别

以下两种安全漏洞类别则在新一轮排名中被挤出榜单前十位:

  • 跨站请求伪造:该类漏洞在2013年版本当中位列第八,但目前在整理者收集到的新数据集中占比已经不足5%。目前排名为第十三位。

  • 未验证的重新定向与转发:该类漏洞在2013年版本当中位列第十,但目前在整理者收集到的新数据集中占比已经不足1%,目前排名为第二十五。

此前于5月公布的草案曾经引起一场激烈的抗议,人们指责整理者与社交媒体之间存在裙带关系与腐败往来。相关作者随后辞职,而榜单更新任务则被交给另一支新团队负责打理。

这份榜单最初公布于2003年,且之后第三到四年进行一次更新。OWASP前十位榜单,现有版本为2013年发布,拟议版本则计划于2017年发布。OWASP方面亦指出,此份榜单是其网站当中下载量最大的文件。

相关阅读:

2017 OWASP十大安全趋势榜单变化解析
求反馈!2017 OWASP TOP 10大安全风险首个候选版本征求意见了
OWASP API安全项目简介

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。