Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202778
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-26 16:57:12

首先强烈谴责一下某墙封禁 appspot 的行为,长此以来的种种劣迹,与“手上破了点皮,于是把整只手砍掉”的行为如出一辙。同时我强烈质疑某墙在执行变更过程中,是否与某些企业、某些部门存在灰色交易,强烈要求信息的公开、透明化!

OWASP 已经开始制定新的 TOP 10



目前还只是候选,没有正式定稿

有几个比较大的变化,首先是从 07年的 TOP 10 Weakness 变为了现在的 TOP 10 Risk

而且计算风险的模型也变了,结合了漏洞散播、危害度等因素,更加科学,有点像SDL里的 DREAD 模型

以下是新的风险计算方式



在新的TOP 10中,有几个选项发生了变化
首先是07年排名第一的 XSS 和第二的 Injection 互相换了一下位置,这点应无疑义。

其次是04年的“错误配置”再次回归

最后是新增了一个“url跳转”,这是由于近年来基于url跳转的钓鱼、逻辑漏洞越来越多,所以这次就放了进来。

阅读(1117) | 评论(0) | 转发(0) |
0

上一篇:ForceHTTPS 的标准

下一篇:推荐阅读2篇

给主人留下些什么吧!~~