OWASP Top 10-2013 Release Candidate 1

2 комментария

Международной организацией OWASP подготовлена первая редакция рейтинга 10 распространенных уязвимостей веб-приложений — «OWASP Top 10 2013 Release Candidate 1». Лидеры — прежние: A1 «Injection», A2 «Broken Authentication and Session Management», A3 «Cross-Site Scripting (XSS)».

Основные изменения по сравнению с публикацией 2010 года следующие:

  • уязвимость типа «Cross-Site Request Forgery (CSRF)» с пятой позиции опустилась на восьмую;
  • добавлена уязвимость типа «использование компонент, содержащих известные уязвимости» («Using Known Vulnerable Components»)
  • уязвимость 2010-A8 «Failure to Restrict URL Access» сформулирована более широко (2013-A7 «Missing Function Level Access Control») и описывает класс уязвимостей, связанных с ошибками в механизмах контроля доступа, а не только в механизме URL;
  • уязвимости A7 «Insecure Cryptographic Storage» и A9 «Insufficient Transport Layer Protection» объединены в новый тип уязвимости 2013-A6 «Sensitive Data Exposure».

С текстом документа можно ознакомиться, перейдя по ссылке.

Possibly Related Posts:


Эксперт сообщества Александр Барабанов

Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.

Рубрика: Аудит кода, Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

2 Отзывов на «OWASP Top 10-2013 Release Candidate 1»


  1. guest

    Интересно. А можно перечислить все 10?

  2. Александр Барабанов

    Полный перечень такой:
    A1 – Injection
    A3 – Broken Authentication and Session Management
    A2 – Cross-Site Scripting (XSS)
    A4 – Insecure Direct Object References
    A5 – Security Misconfiguration
    A6 – Sensitive Data Exposure
    A7 – Missing Function Level Access Control
    A8 – Cross-Site Request Forgery (CSRF)
    A9 – Using Known Vulnerable Components
    A10 – Unvalidated Redirects and Forwards