OWASP 2013年十大Web應用安全漏洞

權威的安全組織OWASP 更新了Top 10：https://www.owasp.org/index.php/Top_10_2013-Top_10

十大安全漏洞分別是：
1. 注入，包括SQL、操做系統和LDAP注入。
2. 有問題的鑑別與會話管理。
3. 跨站腳本攻擊（XSS）。
4. 不安全的直接對象引用。
5. 安全配置錯誤。
6. 暴露敏感數據。
7. 函數級訪問控制缺失。
8. 跨站請求僞造（CSRF）。
9. 使用存在已知漏洞的組件。
10. 未驗證的重定向。

據SecurityWeek報道（http://www.securityweek.com/owasp-top-10-2013-released ），這個報告是基於數百個公司幾千個應用中發現的超過50萬個漏洞總結得出的。與去年相比，前3名保持不變，但XSS名次下滑。CSRF排名也有所下滑。第6名「暴露敏感數據」是去年「不安全密碼存儲」和「不安全傳輸層保護」的合併，涵蓋了與數據泄漏相關的更通常狀況。第9名「使用存在已知漏洞的組件」是新上榜的漏洞。這些變化，直接反映出Web應用安全的變化趨勢。

你的Web應用安全嗎？從OWASP Top 10開始審查代碼、培訓員工，切實提升公司研發團隊的總體安全意識吧。