Обновился список топ-10 уязвимостей от OWASP

Участники проекта Open Web Application Security Project (OWASP) уже десять лет составляют список Топ-10 самых опасных уязвимостей в веб-приложениях, стараясь привлечь внимание всех веб-разработчиков. Рейтинг отражает не только распространенность, но и опасность угрозы. Первая версия Топ-10 вышла в 2003 году, следующие — в 2004, 2007 и 2010 гг.

Список OWASP Топ-10 основан на восьми базах данных от семи компаний, включая четыре консалтинговые фирмы и трех вендоров SaaS. Общая база содержит более 500 000 уязвимостей в сотнях организаций и тысячах приложений.

  • A1 Внедрение кода
  • A2 Некорректная аутентификация и управление сессией
  • A3 Межсайтовый скриптинг (XSS)
  • A4 Небезопасные прямые ссылки на объекты
  • A5 Небезопасная конфигурация
  • A6 Утечка чувствительных данных
  • A7 Отсутствие контроля доступа к функциональному уровню
  • A8 Подделка межсайтовых запросов (CSRF)
  • A9 Использование компонентов с известными уязвимостями
  • A10 Невалидированные редиректы

С 2010 года список претерпел некоторые изменения, показанные в таблице. Тройка лидеров осталось прежней, разве что некорректная аутентификация и управление сессией поднялась с третьего места на второе, а межсайтовый скриптинг опустился со второго на третье. Подделка межсайтовых запросов опустилась с пятого на восьмое место, а небезопасная конфигурация поднялась с шестого на пятое.