首页 > 您所在的位置:ag体育下载>ag体育>沙龙十佳官网-新版OWASP榜单:这三类新型安全漏洞提上前十

沙龙十佳官网-新版OWASP榜单:这三类新型安全漏洞提上前十

沙龙十佳官网-新版OWASP榜单:这三类新型安全漏洞提上前十

沙龙十佳官网,e安全10月25日讯 本次开放web应用程序安全项目披露的最新十大软件漏洞榜单为最终确定版,其中对今年早些时候发布的草案内容作出了部分修改,且包含三大新型安全漏洞类别。

xml外部实体(xml external entity,简称xxe),此类安全漏洞亦为billion laughs攻击的根本来源。

不安全反序列化,equifax公司正是由于未安装补丁以修复apache struts中的相关安全漏洞,才导致今年夏季发生大规模数据泄露事件。

这些新的漏洞类别源自owasp呼吁之后,各方所提交的40多套漏洞数据集;此外,这一结果亦对面向安全社区成员发送的515份调查问卷邮件答复作出了总结。

本次榜单中的前两名——注入漏洞(常见于sql数据库)以及失败的身份验证与会话管理——与2013年发布的上轮结果相比仍然保持不变。

敏感数据泄漏问题则由原本的第六位上升至第三位,跨站脚本(简称xss)则由原本的第三位下落至第七位。

在本次榜单当中,原本的两类安全漏洞——不安全的直接对象引用(第四位)与功能级访问控制缺失(第七位)——此番被合并为失效的访问控制(第五位)。

以下两种安全漏洞类别则在新一轮排名中被挤出榜单前十位:

跨站请求伪造:该类漏洞在2013年版本当中位列第八,但目前在整理者收集到的新数据集中占比已经不足5%。目前排名为第十三位。

未验证的重新定向与转发:该类漏洞在2013年版本当中位列第十,但目前在整理者收集到的新数据集中占比已经不足1%,目前排名为第二十五。

此前于5月公布的草案曾经引起一场激烈的抗议,人们指责整理者与社交媒体之间存在裙带关系与腐败往来。相关作者随后辞职,而榜单更新任务则被交给另一支新团队负责打理。

这份榜单最初公布于2003年,且之后第三到四年进行一次更新。owasp前十位榜单,现有版本为2013年发布,拟议版本则计划于2017年发布。owasp方面亦指出,此份榜单是其网站当中下载量最大的文件。

相关阅读:

2017 owasp十大安全趋势榜单变化解析

求反馈!2017 owasp top 10大安全风险首个候选版本征求意见了

owasp api安全项目简介

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

天津快乐十分