OWASP TOP 10 for 2010正式发布

OWASP TOP 10 for 2010于4月19日正式发布，以下是fox的一些中文说明:

2010 OWASP TOP 10是按“安全风险隐患”来排名的，而不是靠传统的攻击“数量和频率”。2007到2010 “TOP 10” 位置发生的变化：

+新增了A6，不安全的配置管理（Security Misconfiguration）。2004年排名在A10，2007年排名下滑，原因在于它不被认为是一个软件问题。但现在从风险和隐患角度来看，在 2010 top 10中，把它的位置提升到了A6。

+新增了A10，未验证的重定向转发（Unvalidated Redirects and Forwards）。这个好像是首次进入TOP10，看来未知的重定向操作同样是一个严重的安全风险。

-删除了A3，恶意文件执行（Malicious File Execution）。其实这仍然是一个很大的安全隐患。滑出TOP10的原因，可能是现在的PHP安全选项配置，可以减少一些恶意代码执行的安全风险。

-删除了A6，信息泄漏和不当的错误处理（Information Leakage and Improper Error Handling）。

The OWASP Top 10 for 2010 are:

A1: Injection

A2: Cross-Site Scripting (XSS)

A3: Broken Authentication and Session Management

A4: Insecure Direct Object References

A5: Cross-Site Request Forgery (CSRF)

A6: Security Misconfiguration

A7: Insecure Cryptographic Storage

A8: Failure to Restrict URL Access

A9: Insufficient Transport Layer Protection

A10: Unvalidated Redirects and Forwards