2017OWASPTop10十大安全漏洞候选出炉,你怎么看?
OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了2个新分类。
十载的泰来网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销的优势是能够根据用户设备显示端的尺寸不同,自动调整泰来建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联从事“泰来网站设计”,“泰来网站推广”以来,每个客户项目都认真落实执行。
一、背景介绍
OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
OWASP Top 10是啥
OWASP Top 10提供:
- 10大最关键Web应用安全隐患列表
针对每个安全隐患,OWASP Top 10将提供:
- 描述
- 示例漏洞
- 示例攻击
- 防范指南
- OWASP参考源及其他相关资源
二、新增分类
本周OWASP公布了2017 OWASP Top10第一波候选名单,与2013年的列表相比,最大的不同点在于新出现的两种漏洞分类:
- “不充足的攻击检测与预防”
- “未受保护的API”
2017 OWASP Top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的,在2013的列表当中排在第十位。
新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置,OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”,将两者归入“失效的访问控制”,而“失效的访问控制”则是2004列表中原有的分类。
以下是OWASP提供的新分类描述:
“不充足的攻击检测与预防”:“大多数应用和API缺乏基本的能力,来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证,它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”
“未受保护的API”:“现代的应用常常涉及富客户端应用程序和API,比如浏览器和移动App中的JavaScript,连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。”
三、讨论
Reddit上已经就新列表发起讨论,有些用户表示“不充足的攻击检测与预防”不应该被归类为漏洞。不知道会不会有足够多的用户能够让OWASP改变新增这一分类的想法。
如果大家对这个提案有什么意见,都可以通过邮件向OWASP-TopTen(at)lists.owasp.org或者dave.wichers(at)owasp.org(私人评论)提交,时间截止至6月30日。2017 OWASP Top10最终版本将于7月或8月公布。
文章标题:2017OWASPTop10十大安全漏洞候选出炉,你怎么看?
浏览地址:http://www.mswzjz.cn/qtweb/news32/509982.html
攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能