日前，非营利性组织开放式Web应用安全项目(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来对十大安全风险排名的首次更新。

“在过去的四年里，技术与应用正在加速变化，OWASP Top 10的排名也需要随之改变。因此，我们完全重构了OWASP Top 10的修改方法，利用一种新的数据调用流程，并与技术社区合作，对十大安全风险重新进行排列，并添加现在经常引用的框架和语言。”OWASP在发布2017年10大安全风险后表示。

根据OWASP的统计，过去几年来的一些重大变化导致排名前10的安全风险得以更新，其中包括微服务，单页面应用程序，以及JavaScript作为网页主要语言的主导地位等。

前10名现在包括：

1. 注入(Injection)

2.代理身份验证

3.敏感的数据泄露

4. XML外部实体(XXE)

5.中断访问控制

6. 错误安全性配置

7.跨站脚本(XSS)

8.不安全的反序列化漏洞

9.使用具有已知漏洞的组件

10. 日志记录和监视不足

“XML外部实体(XXE)”，“不安全的反序列化漏洞”，“日志记录和监视不足”是最新进入前10的三个安全风险。“中断访问控制”是2013年发布的“不安全的直接对象引用”和“功能级别访问控制缺失”的组合。此外，OWASP已经将“未经验证的重定向和转发”和“跨站请求伪造”从排名中删除。

“为什么‘跨站请求伪造’和‘未经验证的重定向和转发’被删除?这是由于随着时间的推移，这些排名已经有了一些变化，特别是当我们只有8个数据支持点时，我们采用了新方法进行评定，因此这两项并没有在社区进行调查排名。这实际上是一个成功的标志。删除‘跨站请求伪造’这个事实是OWASP Top 10成功完成其使命的一个信号。”OWASP在一篇博客文章中写道。

根据OWASP的统计，在技术社区调查中收到500多份调查反馈，其中很多都提到“不安全的反序列化漏洞”和“日志记录和监视不足”。OWASP指出：“这两个事项显然是很多人在今年的首要考虑因素，因为在这个大规模数据泄露的时代，这两种情况并没有缓和的迹象。”

OWASP表示，“不安全的反序列化漏洞”导致远程执行代码，而“日志记录和监视不足”导致黑客能够攻击系统并保持持久性。

OWASP在报告中指出，“XML外部实体(XXE)是一个由数据支持的新范畴。许多旧的或配置较差的XML处理器在XML文档中对外部实体引用进行评估。外部实体可以通过文件URI处理程序，内部文件共享，内部端口扫描，远程代码执行和拒绝服务攻击披露内部文件。”

为了应用对这前十大安全风险，OWASP认为开发人员需要建立和使用可重复的流程和安全控制，安全测试人员需要建立连续的应用程序安全测试，应用程序管理人员需要从IT角度负责整个应用程序生命周期，而整个组织需要拥有应用安全程序。

“我们在创建OWASP Top 10-2017期间收到了很多反馈，这显示了技术社区对OWASP对十大安全风险重新排名的热情支持，而这也表明了OWASP在大多数用例中列出前10名的重要性。”OWASP写道。