突然好想知道OWASP Top 10在2013和2017有什麼不同,就自個兒爬文弄個親切的中文版筆記來的...
漏洞排名起起扶伏,也代表了著些漏洞被應用的多寡。
OWASP Top 10 | 2013 | 2017 | 打雜筆記 |
---|---|---|---|
A1 | 注入攻擊( Injection) | 注入攻擊( Injection) | 連任!!不愧是常見的攻擊手法Www |
A2 | 失效的驗證與連線管理(Broken Authentication and Session Management) | 無效的身份驗證( Broken Authentication ) | 都是無效驗證... |
A3 | 跨站腳本攻擊(Cross-Site Scripting (XSS)) | 敏感資訊洩漏(Sensitive Data Exposure) | SDE從A6升級到A3 |
A4 | 不安全的直接對物件參考(Insecure Direct Object References) | XML外部處理器漏洞(XML External Entity (XXE)) | 新進榜的XXE |
A5 | 安全配置錯誤(Security Misconfiguration) | 無效的存取控管 ( Broken Access Control ) | |
A6 | 敏感資訊洩漏(Sensitive Data Exposure) | 不安全的組態設定 ( Security Misconfiguration ) | |
A7 | 缺少功能級別的存取控制(Missing Function Level Access Control) | 跨站腳本攻擊(Cross-Site Scripting (XSS)) | XSS從A3降到A7 |
A8 | 跨站請求偽造(Cross-Site Request Forgery (CSRF)) | 不安全的反序列化漏洞 ( Insecure Deserialization ) | |
A9 | 使用含有已知漏洞的組件(Using Known Vulnerable Components) | 使用含有已知漏洞的組件(Using Known Vulnerable Components) | 連任!! |
A10 | 未驗證的重新導向和轉發(Unvalidated Redirects and Forwards) | 記錄與監控不足風險 (Insuficient Logging & Monitoring ) |