OWASP Top 10 2017

背景说明

OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞，可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。

针对每个安全隐患，OWASP Top 10将提供：

描述

示例漏洞

示例攻击

防范指南

OWASP参考源及其他相关资源

开源web应用安全项目（OWASP）是一个开放的社区，致力于帮助各企业组织开发、购买和维护可信任的应用程序。在OWASP，您可以找到以下免费和开源的信息：

应用安全工具和标准

关于应用安全测试、安全代码开发和安全代码审查方面的全面书籍

标准的安全控制和安全库

全球各地分会

尖端研究

专业的全球会议

邮件列表

更多信息，请访问：http://www.owasp.org

---

2017 OWASP Top10与2013年的列表相比，最大的不同点在于新出现的两种漏洞分类：

• “不充足的攻击检测与预防”

• “未受保护的API”

  新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置，OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”，将两者归入“失效的访问控制”，而“失效的访问控制”则是2004列表中原有的分类。

以下是OWASP提供的新分类描述：

“不充足的攻击检测与预防”：“大多数应用和API缺乏基本的能力，来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证，它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

“未受保护的API”：“现代的应用常常涉及富客户端应用程序和API，比如浏览器和移动App中的Java，连接到其他某种API（SOAP/XML、REST/JSON、RPC、GWT等）。这些APT通常未受保护且存在多种漏洞。

OWASP Top 10 2017 rc1全文翻译

滴滴安全DSRC翻译了候选版（非正式发布版）以便于大家快速阅读，

完成版报告下载链接: http://download.****.net/download/zmeixuan/10028085

本文借鉴 360之家