日前，非營利性組織開放式Web應用安全項目(OWASP)正式發布了十大最關鍵的Web應用安全風險。這是該組織自2013年以來對十大安全風險排名的首次更新。

“在過去的四年里，技術與應用正在加速變化，OWASP Top 10的排名也需要隨之改變。因此，我們完全重構了OWASP Top 10的修改方法，利用一種新的數據調用流程，并與技術社區合作，對十大安全風險重新進行排列，并添加現在經常引用的框架和語言。”OWASP在發布2017年10大安全風險后表示。

根據OWASP的統計，過去幾年來的一些重大變化導致排名前10的安全風險得以更新，其中包括微服務，單頁面應用程序，以及JavaScript作為網頁主要語言的主導地位等。

前10名現在包括：

1. 注入(Injection)

2.代理身份驗證

3.敏感的數據泄露

4. XML外部實體(XXE)

5.中斷訪問控制

6. 錯誤安全性配置

7.跨站腳本(XSS)

8.不安全的反序列化漏洞

9.使用具有已知漏洞的組件

10. 日志記錄和監視不足

“XML外部實體(XXE)”，“不安全的反序列化漏洞”，“日志記錄和監視不足”是最新進入前10的三個安全風險。“中斷訪問控制”是2013年發布的“不安全的直接對象引用”和“功能級別訪問控制缺失”的組合。此外，OWASP已經將“未經驗證的重定向和轉發”和“跨站請求偽造”從排名中刪除。

“為什么‘跨站請求偽造’和‘未經驗證的重定向和轉發’被刪除?這是由于隨著時間的推移，這些排名已經有了一些變化，特別是當我們只有8個數據支持點時，我們采用了新方法進行評定，因此這兩項并沒有在社區進行調查排名。這實際上是一個成功的標志。刪除‘跨站請求偽造’這個事實是OWASP Top 10成功完成其使命的一個信號。”OWASP在一篇博客文章中寫道。

根據OWASP的統計，在技術社區調查中收到500多份調查反饋，其中很多都提到“不安全的反序列化漏洞”和“日志記錄和監視不足”。OWASP指出：“這兩個事項顯然是很多人在今年的首要考慮因素，因為在這個大規模數據泄露的時代，這兩種情況并沒有緩和的跡象。”

OWASP表示，“不安全的反序列化漏洞”導致遠程執行代碼，而“日志記錄和監視不足”導致黑客能夠攻擊系統并保持持久性。

OWASP在報告中指出，“XML外部實體(XXE)是一個由數據支持的新范疇。許多舊的或配置較差的XML處理器在XML文檔中對外部實體引用進行評估。外部實體可以通過文件URI處理程序，內部文件共享，內部端口掃描，遠程代碼執行和拒絕服務攻擊披露內部文件。”

為了應用對這前十大安全風險，OWASP認為開發人員需要建立和使用可重復的流程和安全控制，安全測試人員需要建立連續的應用程序安全測試，應用程序管理人員需要從IT角度負責整個應用程序生命周期，而整個組織需要擁有應用安全程序。

“我們在創建OWASP Top 10-2017期間收到了很多反饋，這顯示了技術社區對OWASP對十大安全風險重新排名的熱情支持，而這也表明了OWASP在大多數用例中列出前10名的重要性。”OWASP寫道。