精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

2017 OWASP十大安全問題最終版發布

責任編輯:editor005

作者:nana

2017-11-26 18:09:12

摘自:安全牛

上周,2017 OWASP十大安全問題最終版發布,幾類不再呈現嚴重風險的漏洞,被更易造成重大威脅的問題所替代。不安全直接對象引用(IDOR)和功能級訪問控制缺失,被合并為遭破壞的訪問控制。

上周,2017 OWASP十大安全問題最終版發布,幾類不再呈現嚴重風險的漏洞,被更易造成重大威脅的問題所替代。

4月份的時候,OWASP就發布了2017十大安全問題候選初版,引發關于哪些該入選哪些不該入選的激烈爭論。與2013 OWASP十大安全問題相比,最突出的一個改變,是2017年上榜的漏洞類型為基于所帶來的風險而選出。

今年上榜的十大OWASP漏洞為:注入、破裂的驗證機制、敏感數據暴露、XML外部實體(XXE)、遭破壞的訪問控制、錯誤的安全配置、跨站腳本(XSS)、不安全反序列化、使用帶已知漏洞的組件,以及日志和監視不足。

雖然XSS可被歸為注入的一種,但因此類漏洞的解決方式與SQL和OS指令注入不同,而仍被留做單獨的一類。

跨站請求偽造(CSRF)被從OWASP十大中移除,因為現代開發框架確保了此類漏洞可被避免,CSRF只在5%不到的應用中可見。未經驗證的重定向和轉發也被移除,因為它們只影響到約8%的應用。

不安全直接對象引用(IDOR)和功能級訪問控制缺失,被合并為遭破壞的訪問控制。

空出來的位置由XXE、不安全反序列化和日志及監視不足補上。近些年,關鍵反序列化漏洞在一些常見App中出現,它的上榜順理成章。至于日志及監視不足,OWASP指出,很多公司都在這方面存在嚴重問題,這一點從很多重大數據泄露是由第三方而不是事發公司自身發現就可清晰看出。

OWASP還提到,雖然有些類別的名稱沒變,其覆蓋的問題卻發生了改變。比如說,敏感數據暴露就指的是隱私及個人信息暴露,而不是數據包頭和堆棧跟蹤信息泄露,而錯誤配置如今還包括了云相關問題,比如未受保護的存儲容器(如AWS S3 存儲桶)。

2017 OWASP 十大安全問題基于覆蓋11.4萬應用程序的23家貢獻者提供的數據。出于OWASP提高透明度的努力,該數據可從GitHub相關位置處(https://github.com/OWASP/Top10/tree/master/2017)獲取。

一段時間后,OWASP將開展下一輪十大安全問題遴選工作,初步安排是在2020年。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

  • 主站蜘蛛池模板: 南部县| 资兴市| 蛟河市| 准格尔旗| 陆丰市| 绥芬河市| 叶城县| 库尔勒市| 哈巴河县| 南皮县| 米脂县| 奎屯市| 洛阳市| 嘉黎县| 北票市| 墨竹工卡县| 报价| 寿宁县| 资阳市| 盐池县| 阳曲县| 鹤峰县| 阳谷县| 明光市| 阿拉善盟| 南靖县| 原平市| 盐亭县| 稻城县| 成都市| 芦溪县| 东光县| 柞水县| 南召县| 陆良县| 江都市| 洛阳市| 霍山县| 扎赉特旗| 多伦县| 长春市|