在獲選入榜的項目中,除了排名因為評估方式改變而有所變化外,還有下列幾項的變更:
- 新增第六項為不正確的安全設定 (Security Misconfiguration)。
- 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。
- 移除第三項惡意程式的執行 (Malicious File Execution)。
- 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。
雖然 Web Application 的安全風險絕對不只是 OWASP Top 10 中列出的項目,但是 OWASP Top 10 的內容依舊極具參考價值,對於有志增進 Web Application 安全的從業人員來說是很重要的文件,甚至更是許多相關產品或政府規範所必備的檢查項目。而且報告中也提供了問題說明與建議的解決方法,算是一份很好的學習與參考資料。這次公布的 OWASP Top 10 包含下列十個項目:
- 注入 (Injection)
- 跨站腳本攻擊 (Cross-Site Scripting, XSS)
- 失效的驗證與連線管理 (Broken Authentication and Session Management)
- 不安全的物件參考 (Insecure Driect Object References)
- 跨站請求偽造 (Cross-site Request Forgery, CSRF)
- 不正確的安全設定 (Security Misconfiguration)
- 不安全的加密資料儲存 (Insecure Cryptographic Storage)
- 限制網址存取失效 (Failure to Restrict URL Access)
- 傳輸層保護的不足 (Insufficient Transport Layer Protection)
- 未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)
相關連結:
沒有留言:
張貼留言