OWASP Top 10-2013 Release Candidate 1
Международной организацией OWASP подготовлена первая редакция рейтинга 10 распространенных уязвимостей веб-приложений — «OWASP Top 10 2013 Release Candidate 1». Лидеры — прежние: A1 «Injection», A2 «Broken Authentication and Session Management», A3 «Cross-Site Scripting (XSS)».
Основные изменения по сравнению с публикацией 2010 года следующие:
- уязвимость типа «Cross-Site Request Forgery (CSRF)» с пятой позиции опустилась на восьмую;
- добавлена уязвимость типа «использование компонент, содержащих известные уязвимости» («Using Known Vulnerable Components»)
- уязвимость 2010-A8 «Failure to Restrict URL Access» сформулирована более широко (2013-A7 «Missing Function Level Access Control») и описывает класс уязвимостей, связанных с ошибками в механизмах контроля доступа, а не только в механизме URL;
- уязвимости A7 «Insecure Cryptographic Storage» и A9 «Insufficient Transport Layer Protection» объединены в новый тип уязвимости 2013-A6 «Sensitive Data Exposure».
С текстом документа можно ознакомиться, перейдя по ссылке.
Интересно. А можно перечислить все 10?
Полный перечень такой:
A1 – Injection
A3 – Broken Authentication and Session Management
A2 – Cross-Site Scripting (XSS)
A4 – Insecure Direct Object References
A5 – Security Misconfiguration
A6 – Sensitive Data Exposure
A7 – Missing Function Level Access Control
A8 – Cross-Site Request Forgery (CSRF)
A9 – Using Known Vulnerable Components
A10 – Unvalidated Redirects and Forwards