OWASP发布2013年十大Web应用安全漏洞

权威的安全组织OWASP刚刚更新了Top 10：https://www.owasp.org/index.php/Top_10_2013-Top_10

 

十大安全 漏洞分别是：

1. 注入，包括SQL、操作系统和LDAP注入。

2. 有问题的鉴别与会话管理。

3. 跨站脚本攻击（XSS）。

4. 不安全的直接对象引用。

5. 安全配置错误。

6. 暴露敏感数据。

7. 函数级访问控制缺失。

8. 跨站请求伪造（CSRF）。

9. 使用存在已知漏洞的组件。

10. 未验证的重定向。

 

据SecurityWeek报道（http://www.securityweek.com/owasp-top-10-2013-released ），这个报告是基于数百个公司几千个应用中发现的超过50万个漏洞总结得出的。与去年相比，前3名保持不变，但XSS名次下滑。CSRF排名也有所下滑。第6名“暴露敏感数据”是去年“不安全密码存储”和“不安全传输层保护”的合并，涵盖了与数据泄漏相关的更一般情况。第9名“使用存在已知漏洞的组件”是新上榜的漏洞。这些变化，直接反映出Web应用安全的变化趋势。

 

你的Web应用安全吗？从OWASP Top 10开始审查代码、 培训员工，切实提高公司研发团队的整体安全意识吧