OWASPs välkända topp tio-lista kommer i en ny version 2010. Dave Wichers presenterar just nu rc1 av den. OWASP Top 10 2010 är riskbaserad, dvs graderad utifrån sannolikhet och konsekvens.
- A1 (A2) Injection
- A2 (A1) Cross-Site Scripting (XSS)
- A3 (A7) Broken Authentication and Session Management
- A4 (A4) Insecure Direct Object References
- A5 (A5) Cross-Site Request Forgery (CSRF)
- A6 (Ny) Security Misconfiguration (utvecklare använder ramverk men konfigurerar dem fel och sannolikheten att en attackerare hittar såna fel är större än att han/hon hittar applikationsspecifika fel)
- A7 (A10) Failure to Restrict URL Access
- A8 (Ny) Unvalidated Redirects and Forwards (destinationsadressen för en redirect eller en forward ligger i en parameter som klienten kan ändra, ganska vanligt och mycket farligt)
- A9 (A8) Insecure Cryptographic Storage
- A10 (A9) Insufficient Transport Layer Protection
- (Borttagen) A3 Malicious File Execution (mest ett php-problem)
- (Borttagen) A6 Information Leakage and Improper Error Handling (ej hög risk)
Planen är att låta communityn kommentera fram till sista december och sen fastställa det hela i början av 2010. Därför ska vi försöka ha en OWASP Sweden-kväll i december där vi diskuterar igenom listan och kommer med gemensam feedback.
[Uppdatering] Nu finns nya listan på wikin.
Inga kommentarer:
Skicka en kommentar