2017 OWASP 10大安全性漏洞初版提案出爐：新增2大漏洞類型

4月10日，開放網頁應用安全計畫(OWASP)發佈了其2017年10大安全性漏洞提案初版，提出了2個新的漏洞類型。

2個新分類分別是：“攻擊檢測與預防不足”和“未受保護的API”。

給“未受保護的API”讓位的，是在2010年進入“10大”的“未經驗證的重定向和轉發”，該分類在當前(2013)列表中排名第10。

“攻擊檢測與預防不足”被添加到第7的位置，通過合併當前排名第4的“不安全直接物件引用”和排名第7的“函數級存取控制缺失”騰出空間，合併後的分類被命名為“失效的存取控制”——恢復到2004年的分類名。

OWASP對新“攻擊防護不足”分類的描述是：“大多數應用和API缺乏檢測、預防和回應手動或自動化攻擊的能力。攻擊防護遠不止基本輸入驗證，涉及自動化檢測、記錄、回應，甚至封鎖漏洞利用嘗試。應用所有者還要能快速部署安全補丁以防護攻擊。

Reddit上的討論中，有用戶稱“攻擊防護不足”不應該被歸為漏洞。是否有足夠的用戶支持讓OWASP改變創建新分類的想法，還有待觀察。

至於“未受保護的API”分類，OWASP稱：“現代應用常涉及富用戶端應用程式和API，比如流覽器和手機App中連接某種形式(SOAP/XML、REST/JSON、RPC、GWT等)API的JavaScript。這些API往往是未受保護的，且內含大量漏洞。”

6月30日之前，可往OWASP-TopTen@lists.owasp.org或dave.wichers@owasp.org(私信)發送郵件，提交針對 2017年10大安全性漏洞的評論。最終版本將在今年7月或8月正式公佈。

前10大風險因素匯總