Обновился список Топ-10 уязвимостей от OWASP (Release Candidat 2)— наиболее критичных рисков безопасности веб-приложений.
На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Проект OWASP Топ-10 отражает наиболее значимые угрозы веб-приложению.
Версия стандарта обновляется приблизительно раз в три года и отражает современные тренды безопасности веб-приложений. В этом году был промежуточный релиз кандидат, данный же документ является финальным релизом.
OWASP Top 10 2013
Список самых опасных рисков (уязвимостей) веб-приложений от 2013 года:
- A1 Внедрение кода
- A2 Некорректная аутентификация и управление сессией
- A3 Межсайтовый скриптинг
- A4 Небезопасные прямые ссылки на объекты
- A5 Небезопасная конфигурация
- A6 Утечка чувствительных данных
- A7 Отсутствие контроля доступа к функциональному уровню
- A8 Подделка межсайтовых запросов
- A9 Использование компонентов с известными уязвимостями
- A10 Невалидированные редиректы
OWASP Top 10 2017 RC 2 Final
Список самых опасных рисков (уязвимостей) веб-приложений от 2017 года:
- A1 Внедрение кода
- A2 Некорректная аутентификация и управление сессией
- A3 Утечка чувствительных данных
- A4 Внедрение внешних XML- сущностей (XXE)
- A5 Нарушение контроля доступа
- A6 Небезопасная конфигурация
- A7 Межсайтовый скриптинг
- A8 Небезопасная десериализация
- A9 Использование компонентов с известными уязвимостями
- A10 Отсутствие журналирования и мониторинга
Ссылки
→ Проект OWASP
→ PDF версия OWASP Top 10 2017 RC 2 на github
