4月10日,开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版,提出了2个新的漏洞类型。而这距离上次更新,已经过去了四年,可以这么说,OWASP TOP 10的变化,反映的就是近年来信息安全界的整体变化!
OWASP是什么?
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP TOP 10是什么?
OWASP TOP 10是OWASP组织经过多方市场调研发布出来的具有一定时效性的阶段性10大关键漏洞,对于个人,企业和机构进行信息安全防护有指导性作用。
OWSP TOP 10 2017新变动
如图(柯力士中文化首发)2017版本新增2个分类,
2个新分类分别是:“应对攻击防护不足”和“未受保充分护的API接口”。
2013年版中A4 – 不安全的直接对象引用(Insecure Direct Object References)与A7 –功能级访问控制缺失(Missing Function Level Access Control)合并成为2017版中的新A4 –失效的访问控制(Broken Access Control)
给“未受保护的API”让位的,是在2010年进入“10大”的“未经验证的重定向和转发”,该分类在当前(2013)列表中排名第10。
➤Top 10是围绕主要的风险领域来整理的,不要求严密、不重叠和严格分类。
观点-为何OWASP会发生这样的变化
我们来看新增的两条内容,应对攻击防护不足(Insufficient Attack Protection)大多数应用程序和API缺乏检测、防护、响应手动或自动攻击的基本能力。 这里的攻击防护远不止基本输入验证,还包括漏洞攻击的自动检测、记录、响应甚至阻止,还需要应用程序所有者能够快速部署补丁以防止攻击。
这反映了当今整体信息安全行业的状况,对攻击进行检测、响应和阻止,会使应用程序更难被攻破,但几乎没有任何应用程序或API具有这种保护行为。自定义代码和组件中的关键漏洞也一直在被人发现,但企业组织通常需要几周甚至几个月才能推出新的防御修复方案。防御or补丁的发展速度滞后于攻击者的攻击技术,这正是当今行业存在的焦点问题之一。
那么为何“未受保护的API接口”会替代“未经验证的重定向和转发”,成为10th呢?
根据信息安全工程师对OWASP发布内容的解读,得出了这样的结论:移动终端,万物互联成为当今时代的热点,而这其中存在的API接口问题的威胁已经超越了未经验证的重定向和转发,应该说未经验证的重定向和转发已经获得了解决方案。
目前OWASP TOP 10 2017还处于 候选版本rc1的状态,并开始公开征集意见,正式版预计在7月或8月公布,而新的“网络安全法”也已发布,相信到那时候,对于新的TOP10 我们会有更多认识!
长按二维码即可直达扫描全球漏洞的安犬漏洞管理云平台,点击阅读原文可下载英文版的OWASP top 10 - 2017 rc1报告
0day
文章评论