2017 OWASP 10大安全漏洞初版提案出炉:新增2大漏洞类型

4月10日，开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版，提出了2个新的漏洞类型。

2个新分类分别是：“攻击检测与预防不足”和“未受保护的API”。

给“未受保护的API”让位的，是在2010年进入“10大”的“未经验证的重定向和转发”，该分类在当前(2013)列表中排名第10。

“攻击检测与预防不足”被添加到第7的位置，通过合并当前排名第4的“不安全直接对象引用”和排名第7的“函数级访问控制缺失”腾出空间，合并后的分类被命名为“失效的访问控制”——恢复到2004年的分类名。

OWASP对新“攻击防护不足”分类的描述是：“大多数应用和API缺乏检测、预防和响应手动或自动化攻击的能力。攻击防护远不止基本输入验证，涉及自动化检测、记录、响应，甚至封锁漏洞利用尝试。应用所有者还要能快速部署安全补丁以防护攻击。”

Reddit上的讨论中，有用户称“攻击防护不足”不应该被归为漏洞。是否有足够的用户支持让OWASP改变创建新分类的想法，还有待观察。

至于“未受保护的API”分类，OWASP称：“现代应用常涉及富客户端应用程序和API，比如浏览器和手机App中连接某种形式(SOAP/XML、REST/JSON、RPC、GWT等)API的JavaScript。这些API往往是未受保护的，且内含大量漏洞。”

6月30日之前，可往OWASP-TopTen@lists.owasp.org或dave.wichers@owasp.org(私信)发送邮件，提交针对 2017年10大安全漏洞的评论。最终版本将在今年7月或8月正式公布。

前10大风险因素汇总