OWASP前10名的新版本是正征求公众意见从开放Web应用安全项目,虽然大部分保持不变,有一对夫妇的新的补充,重点保护的Web应用程序和API。
以腾出空间给新的项目,几个旧的被移除或合并为新的项目。
该名单并没有太大的,因为它的第一个版本于2003年改变的事实是有好有坏,杰夫威廉斯,首席技术官兼联合创始人在说对比度安全。
威廉姆斯曾在第一OWASP前10名,并且是OWASP的椅子2003至2011年。
“这是很好的威胁不会改变那么多,”他说。“如果他们发生巨大的改变,这将是一个困难得多跟上。这就像我们知道的魔鬼。”
在另一方面,该名单还显示,公司都不得不应对的最基本的问题问题。
“这还了得,我认为我们仍然有SQL注入和跨站脚本挣扎,”他说。“我们应该能够杜绝出来,但我们不是。我们不是在做所有的任何进展。”
列表中的这个版本是基于新的研究,有来自40多个行业合作伙伴的数据,占地超过50,000的应用程序,共有230万点的漏洞。
“平均而言,跨是这项研究的一部分,所有50000级的应用,我们看到每个应用程序的漏洞20.5,”他说。“这是一个惊人的数字。每个人都应该被这个数字感到愤怒。我们需要做的更好,我们可以做的更好。这是众所周知的,很好理解的问题,他们没有复杂的修复,如果你设置你的心吧。“
该研究看了哪些漏洞仍然普遍,安全仍至关重要,并补充说,反映了向高速的软件开发移动项目。
以腾出空间给新的项目,重点是保护API和Web应用程序,合并有关的访问控制两个项目,和无证重定向和前锋都掉落列表,因为它是不是所有的危险。
“这是从来没有过的最严重的风险之一,”他说。“在最坏的情况,它会重定向到的人,他们不想去一个URL。但它不是很难做到这一点无论如何,你不需要特殊的漏洞来招人去点击一个链接。”
添加的两个新项目是一个有点争议,因为它们实际上不是同一种漏洞的名单上的其他项目。
以Web应用程序的攻击防护不足。
“我们是在2017年,大多数应用将仍然让你攻击他们永远,”他说。“他们只会说,‘我们不明白您的要求,请再试一次。’这不是世界上最难的事是发现明显的攻击,并阻止他们。我们需要的应用程序,以保护自己一点点“。
同样,原料药 - 它允许应用程序直接相互通信 - 已经变得非常普遍。
“但是我们所看到的是,这些API是一个盲点对于许多组织,”他说。“他们没有得到测试作为传统的Web应用程序得到的是相同的。”
他承认,很多的问题,这些问题的API可以有实际的OWASP十大名单上的其他地方提到。
斯拉维克马尔科维奇,首席执行官和共同创始人Demisto
“你可以有SQL注入,例如,在API中,”他说。“所以,现在一些项目相互重叠。”
这是确定的,他说,因为OWASP十大不设计成一个标准,而是一种工具来提高认识。
“这个清单可以帮助提高认识,但这里没有可操作的项目的首席信息安全官,”斯拉维克马尔科维奇,CEO和联合创始人在说Demisto。“这份名单,还有许多伟大的资源OWASP有,主要是有用的开发人员了解常见的陷阱和注意。”
这份名单是起点网络安全的好,并且被很多业内人士依靠,耶利米·格罗斯曼,在安全战略的负责人说,SentinelOne。
“如果你没有任何的总体规划,启动与OWASP前10名,那么,当你制定一个计划,有什么具体为您的组织取代它,”他说。
但是,新的清单并非没有争议。
例如,一些安全专家看到了有关保护Web应用程序是一个营销赠品添加项目对于谁提供的Web应用防火墙或运行应用程序的安全保护供应商。
“很多人不喜欢它,当人们充分利用了OWASP十大谋取商业利益,”他说,“你在哪里,必须买的东西都符合。”
格罗斯曼还指出,除了API保护,以列表的是多余的,因为在做研究的副总裁Chris工程,Veracode的。
“真的没有需要创建API的一个新类别,”他说。“如果有一个新的,流行的漏洞类别独特的API,然后它会是有意义的亮点。否则,重复只会引起混乱。该漏洞的根本原因和补救措施是一样的,不管是否他们是否通过API访问。”
这同样适用于保护Web应用程序,他说。
“为什么不充分的保护属于名单上,但没有进行足够的测试,代码覆盖率不足,威胁建模不足,或开发不足的教育?”他说。“应用程序生命周期中所有这些活动的发生,并提高应用程序的安全性。”
但总体而言,SentinelOne的Grossman说,这是一个很好的列表。
“信息安全人员进行培训,以发现漏洞的一切,无论多么轻微,并认为它,”他说。
这个故事,“最新OWASP前10看到的API,Web应用程序”,由最初发表CSO 。