OWASP(Open Web Application Security Project)大會本月初在美國華盛頓舉辦,會後公開2010年初版OWASP Top10。資料隱碼攻擊(Injection)把「跨網站攻擊程式」(XSS,Cross Site Scripting)擠下,從第2名躍升至首位。
新增的網站安全組態設定缺失( Security Misconfiguration)是由原本Insecure config. management更名而來,而未驗證的網頁重導向(Unvalidated Redirects and Forwards)則是新增項目。此外,雖然惡意檔案執行(Malicious file execution)與資訊洩漏/不當錯誤處理(Malicious file execution)被踢出榜外,但他們仍是很重要的安全議題。遭破壞的鑑別與連線管理(Broken Authentication and Session Management)從2007年的第7名上升至第3名,顯見安全威脅的嚴重性倍增。
OWASP Top10常被業界拿來作為網站安全參考標的之一,企業透過參考OWASP Top 10可更了解目前所遭遇的網站風險,進而透過技術與管理層面,降低問題與風險的發生。新版的風險評比方式,是依威脅、攻擊方式、脆弱度到偵測性、技術與營運的衝擊等網站安全項目作量化評比。
此Top10名單出爐,推估相關網站與企業資安管理與服務商,將引發新一波改版更新潮,將新榜的名單納入其功能更新的項目中。