威胁预警 | 2017 OWASP TOP 10安全风险发布首个预选版本

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是国际知名安全组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。OWASP目前全球有130个分会近万名会员，其主要目标是研议协助解决Web软件安全标准、工具与技术文件，长期致力于协助政府和企业了解并改善网页应用程序与网页服务的安全性。

OWASP每隔一段时间就会更新当下10个最关键的Web应用安全问题清单，即“OWASP Top 10”，这是针对Web应用安全问题的一个影响力极大的清单。

因为，OWASP TOP10中列出的是十大最有可能发生的Web漏洞，而不是某些具体的攻击行为，为计算机和互联网应用程序安全提供了非常全面、权威的数据信息，可以有效地帮助企业了解并改善其web应用程序及web服务安全性。

本周，开放式Web应用程序安全项目（OWASP）提交了“2017年 OWASP TOP 10”的首个预选版本，主要的新奇之处在于其中包含的2个新分类。

OWASP Top 10 – 2017版本中推出的两个新分类为：

“攻击检测和防御不足”;
“未受保护的API”;

下表左边是2013年的清单，右边是2017年的清单。可以看出改变的地方如下所示：

观察上图变化我们发现：“未受保护的API”取代的是在2013年进入“OWASP Top 10”的“未经验证的重定向和转发”安全威胁，该分类在2013年发布的列表中排名第10位。

而通过合并2013年排名第4的“不正确的直接对象引用”和排名第7的“函数级访问控制缺失”（合并后的分类被命名为“失效的访问控制”，恢复成2003/2004年的分类名），为2017年版本中的“攻击检测与防御不足”腾出了位置，成功进入到第7名的位置。

以下为OWASP为新分类提供的相关描述：

“攻击保护不足”：大多数应用程序和API缺乏检测、预防和响应手动以及自动化攻击的能力。攻击防护远远不止基本的输入验证，还涉及自动化检测、记录日志、响应，甚至封锁漏洞利用尝试。应用程序开发者还要能够快速部署安全补丁来有效地防范攻击。

“未受保护的API”：现代应用程序通常涉及客户端应用程序和API，例如浏览器和移动应用中连接某种形式（如SOAP/XML、REST/JSON、RPC、GWT等）API中的JavaScript。这些API通常是未受保护的，且包含大量安全漏洞。

6月30日之前，安全专家、开发人员以及用户可以通过电子邮件将关于2017年 OWASP Top 10提案的相关意见和评论提交至：OWASP-TopTen@lists.owasp.org；或dave.wichers@owasp.org（私人评论）。OWASP计划在2017年6月30日结束公众意见征询期后，于2017年7月或8月正式发布最终版OWASP Top 10名单。