Проект Open Web Application Security Project (OWASP) представил новую версию рейтинга уязвимостей. До этого последние обновления в OWASP TOP-10 вносились в 2013 году.
Open Web Application Security Project (OWASP) – открытый проект обеспечения безопасности web-приложений, включающий корпорации, образовательные организации и частных лиц со всего мира. Сообщество не первый год работает в над созданием статей, инструментов и технологий, находящихся в свободном доступе.
OWASP TOP-10 – это информационный документ, который широко используется многими организациями. Он актуален в рамках программ выплаты вознаграждений за найденные уязвимости, а так же для классификации уязвимостей по уровням опасности.
Статус официального стандарта рейтинг не имеет. С момента создания обновление документа осуществлялось несколько раз: в 2004, 2007, 2010, 2013 и 2017 годах.
В обновленной редакции, как и в предыдущих, верхнюю строчку TOP-10 занимают уязвимости, позволяющие внедрение кода. Из изменений: несколько перестановок и добавление трех новых уязвимостей – XXE (External Entity Expansion, уязвимость сайта или приложения к внедрению кода XML), Insecure Deserialization и Insufficient Logging&Monitoring.
Как и в предыдущие годы, рейтинг был составлен на основании сообщений пользователей и открытых обсуждений.
Источник: securitylab.ru