Рейтинг OWASP TOP-10 обновлен впервые за 4 года
В OWASP TOP-10 добавлены три новых типа уязвимостей.
Проект Open Web Application Security Project (OWASP) опубликовал новую версию рейтинга уязвимостей. Последний раз рейтинг обновлялся в 2013 году.
OWASP TOP-10 не является официальным стандартом, это всего лишь информационный документ, который широко используется многими организациями, программами выплаты вознаграждений за найденные уязвимости и экспертами в области кибербезопасности для классификации уровня опасности уязвимостей. За последние годы рейтинг обновлялся несколько раз - в 2004, 2007, 2010, 2013 и 2017 годах.
Как и в предыдущих редакциях, верхнюю строчку TOP-10 занимают уязвимости, позволяющие внедрение кода, однако в новой версии произошло несколько перестановок, а также добавились три новых типа уязвимостей - XXE (External Entity Expansion, уязвимость сайта или приложения к внедрению кода XML), Insecure Deserialization и Insufficient Logging&Monitoring.
По аналогии с предыдущими годами рейтинг был составлен на основе сообщений пользователей и открытых обсуждений.
Более подробно с описанием уязвимостей можно ознакомитьсяздесь.
Open Web Application Security Project (OWASP) - открытый проект обеспечения безопасности web-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе.