OWASP Top 10-2013 Release Candidate 1

Международной организацией OWASP подготовлена первая редакция рейтинга 10 распространенных уязвимостей веб-приложений — «OWASP Top 10 2013 Release Candidate 1». Лидеры — прежние: A1 «Injection», A2 «Broken Authentication and Session Management», A3 «Cross-Site Scripting (XSS)».

Основные изменения по сравнению с публикацией 2010 года следующие:

  • уязвимость типа «Cross-Site Request Forgery (CSRF)» с пятой позиции опустилась на восьмую;
  • добавлена уязвимость типа «использование компонент, содержащих известные уязвимости» («Using Known Vulnerable Components»)
  • уязвимость 2010-A8 «Failure to Restrict URL Access» сформулирована более широко (2013-A7 «Missing Function Level Access Control») и описывает класс уязвимостей, связанных с ошибками в механизмах контроля доступа, а не только в механизме URL;
  • уязвимости A7 «Insecure Cryptographic Storage» и A9 «Insufficient Transport Layer Protection» объединены в новый тип уязвимости 2013-A6 «Sensitive Data Exposure».

С текстом документа можно ознакомиться, перейдя по ссылке.

Comments are closed.