De har precis släppt OWASP Top 10 2017.
Vilka skillnader finns jämfört med listan från 2013?
2013
A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting (XSS)
A4 - Insecure Direct Object Reference
A5 - Security Misconfiguration
A6 - Sensitive Data Exposure
A7 - Missing Function Level Access Control
A8 - Cross-Site Request Forgery (CSRF)
A9 - Using Components with Known Vulnerabilities
A10 - Unvalidated Redirects and Forwards
2017
A1- Injection
A2 - Broken Authentication
A3 - Sensitive Data Exposure
A4 - XML External Entities (XXE) [NEW]
A5 - Broken Access Control [Merged - 2013 A3 och A7]
A6 - Security Misconfiguration
A7 - Cross-Site Scripting (XSS)
A8 - Insecure Deserialization [NEW, Community]
A9 - Using Components with Known Vulnerabilities
A10 - Insufficient Logging&Monitoring [NEW,Community]
Det som har hänt är att A8 - Cross-Site Request Forgery (CSRF) och A10 - Unvalidated Redirects and Forwards har trillat bort i nya listan. A4 och A7 slogs ihop till A5. Sen tillkom det tre nya varav två kom från communityn, dvs. från användare och andra intresserade. Ordningen har ändrats något på grund av att hoten inte är lika vanliga eller allvarliga.
Att hot tas bort betyder inte att de inte längre är några hot, men OWASP anser inte att de är lika allvarliga eller lika vanliga.
Jag kommer framöver att skriva lite om vad de tre nya innebär och hur man kan skydda sig mot dem.
System och tjänster som uppdaterats sedan förra uppdateringen:
- s02
- s03
- Inga uppdateringar
- s04
- Installationen av servern är klar. Det är några småsaker som inte fungerar helt ännu och SSL/TLS behöver ordnas för alla tjänster. Nu fungerar det bara för webbsidorna.
- Testperiod och finjustering börjar.
