2017OWASPTop10十大安全漏洞候选出炉，你怎么看？

OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表)，增加了2个新分类。

十载的泰来网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。成都全网营销的优势是能够根据用户设备显示端的尺寸不同，自动调整泰来建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。成都创新互联从事“泰来网站设计”,“泰来网站推广”以来，每个客户项目都认真落实执行。

一、背景介绍

OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞，可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。

OWASP Top 10是啥

OWASP Top 10提供：

• 10大最关键Web应用安全隐患列表

针对每个安全隐患，OWASP Top 10将提供：

• 描述
• 示例漏洞
• 示例攻击
• 防范指南
• OWASP参考源及其他相关资源

二、新增分类

本周OWASP公布了2017 OWASP Top10第一波候选名单，与2013年的列表相比，最大的不同点在于新出现的两种漏洞分类：

• “不充足的攻击检测与预防”
• “未受保护的API”

2017 OWASP Top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的，在2013的列表当中排在第十位。

新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置，OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”，将两者归入“失效的访问控制”，而“失效的访问控制”则是2004列表中原有的分类。

以下是OWASP提供的新分类描述：

“不充足的攻击检测与预防”：“大多数应用和API缺乏基本的能力，来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证，它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

“未受保护的API”：“现代的应用常常涉及富客户端应用程序和API，比如浏览器和移动App中的JavaScript，连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。”

三、讨论

Reddit上已经就新列表发起讨论，有些用户表示“不充足的攻击检测与预防”不应该被归类为漏洞。不知道会不会有足够多的用户能够让OWASP改变新增这一分类的想法。

如果大家对这个提案有什么意见，都可以通过邮件向OWASP-TopTen(at)lists.owasp.org或者dave.wichers(at)owasp.org(私人评论)提交，时间截止至6月30日。2017 OWASP Top10最终版本将于7月或8月公布。

网页题目：2017OWASPTop10十大安全漏洞候选出炉，你怎么看？
转载来源：http://www.csdahua.cn/qtweb/news32/509982.html

成都网站优化推广公司_创新互联，为您提供品牌网站制作、企业建站、手机网站建设、网站设计、小程序开发、做网站

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网