上周，2017 OWASP十大安全问题最终版发布，几类不再呈现严重风险的漏洞，被更易造成重大威胁的问题所替代。

4月份的时候，OWASP就发布了2017十大安全问题候选初版，引发关于哪些该入选哪些不该入选的激烈争论。与2013 OWASP十大安全问题相比，最突出的一个改变，是2017年上榜的漏洞类型为基于所带来的风险而选出。

今年上榜的十大OWASP漏洞为：注入、破裂的验证机制、敏感数据暴露、XML外部实体(XXE)、遭破坏的访问控制、错误的安全配置、跨站脚本(XSS)、不安全反序列化、使用带已知漏洞的组件，以及日志和监视不足。

虽然XSS可被归为注入的一种，但因此类漏洞的解决方式与SQL和OS指令注入不同，而仍被留做单独的一类。

跨站请求伪造(CSRF)被从OWASP十大中移除，因为现代开发框架确保了此类漏洞可被避免，CSRF只在5%不到的应用中可见。未经验证的重定向和转发也被移除，因为它们只影响到约8%的应用。

不安全直接对象引用(IDOR)和功能级访问控制缺失，被合并为遭破坏的访问控制。

空出来的位置由XXE、不安全反序列化和日志及监视不足补上。近些年，关键反序列化漏洞在一些常见App中出现，它的上榜顺理成章。至于日志及监视不足，OWASP指出，很多公司都在这方面存在严重问题，这一点从很多重大数据泄露是由第三方而不是事发公司自身发现就可清晰看出。

OWASP还提到，虽然有些类别的名称没变，其覆盖的问题却发生了改变。比如说，敏感数据暴露就指的是隐私及个人信息暴露，而不是数据包头和堆栈跟踪信息泄露，而错误配置如今还包括了云相关问题，比如未受保护的存储容器（如AWS S3 存储桶）。

2017 OWASP 十大安全问题基于覆盖11.4万应用程序的23家贡献者提供的数据。出于OWASP提高透明度的努力，该数据可从GitHub相关位置处(https://github.com/OWASP/Top10/tree/master/2017)获取。

一段时间后，OWASP将开展下一轮十大安全问题遴选工作，初步安排是在2020年。

相关阅读

2017 OWASP 10大安全漏洞初版提案出炉：新增2大漏洞类型