最新的OWASP Top 10 2017年版,終於在11月20日正式公布,和2013年的Top 10相較,新版因為有實際調查企業貢獻的Log登錄檔和API,也有資安社群的實際回饋,這前十大風險更能真實呈現,隨著技術進步所帶來的資安嚴峻風險現況。
前三大全新入圍的資安風險中,都跟近年來微服務興起有關係,分別是常見的「XML External Entity,XXE」(XML外部處理器漏洞)、針對Java、PHP和Node.js等常見的「Insecure Deserialization」(不安全的反序列化漏洞),以及「Insufficient Logging & Monitoring」(紀錄與監控不足風險)。
因為臺灣政府和企業相當關注OWASP Top 10,但OWASP臺灣分會研發長胡辰澔強調,這十個名單會隨著技術演進持續變動,企業如果只想解決這十大風險,就讓OWASP Top 10做小了。
#OWASPTop10
#XXE
#XSS
#CSRF
https://www.ithome.com.tw/news/118411
