Open Web Application Security Project （OWASP）每隔3-4年會(huì)公布一次 “Web 開(kāi)發(fā)安全問(wèn)題 TOP10 ” ，通過(guò)找出企業(yè)組織所面臨的嚴(yán)重的風(fēng)險(xiǎn)來(lái)提高人們對(duì)應(yīng)用程序安全的關(guān)注度。OWASP Top 10 被眾多標(biāo)準(zhǔn)、書(shū)籍、工具和相關(guān)組織引用，包括 MITRE、PCI DSS、DISA、 FTC 等等。OWASP Top 10 初于2003 年發(fā)布，并于 2004 年和 2007 年相繼做了少許的修改更新。2010 版在流行程度的基礎(chǔ)上，還對(duì)風(fēng)險(xiǎn)進(jìn)行排序。這種模式也在 2013 版和新的 2017 版得到了延續(xù)。
上一版 OWASP TOP10 發(fā)布于2013年，距今已有四年，全新的 OWASP Top10 將于今年發(fā)布。TOP10 2017 已于今年年中開(kāi)始編制并發(fā)布 RC1 版，但因其中兩條內(nèi)容遭社區(qū)投票反對(duì)，重新開(kāi)啟征集，并在10月發(fā)布了其 RC2 版本。目前在做終的意見(jiàn)收集，若無(wú)意外，正式版會(huì)在11月18日發(fā)布。
2017 的問(wèn)題和 2013 變化并不大。如果往更早的 2007 榜單翻，你甚至?xí)l(fā)現(xiàn)仍然有4個(gè)相同的問(wèn)題出現(xiàn)在榜單之上。這似乎在說(shuō)明，Web 開(kāi)發(fā)者其實(shí)是在一次又一次犯同樣的錯(cuò)誤？新的工具，新的開(kāi)發(fā)模式的出現(xiàn)，并沒(méi)有完全改變這一狀況。甚至有一些人猜測(cè)和評(píng)論，犯同樣錯(cuò)誤的開(kāi)發(fā)者并不是同一群開(kāi)發(fā)者，而是因?yàn)?Web 開(kāi)發(fā)本來(lái)就是 IT 行業(yè)軟件開(kāi)發(fā)中低端，從業(yè)者普遍缺乏能力和知識(shí)，而安全是他們后考慮的問(wèn)題。
OWASP TOP10 2017 RC2 包含內(nèi)容如下：
    A1 - 注入缺陷
    A2 - 失效的身份認(rèn)證和會(huì)話(huà)管理
    A3 - 敏感數(shù)據(jù)泄露
    A4 - XML 外部實(shí)體注入（XXE）
    A5 -  無(wú)效的訪問(wèn)控制（合并于 2013 年的 A4 “不安全的直接對(duì)象引用”和 A7 “功能級(jí)訪問(wèn)控制功能缺失”）
    A6 - 安全配置錯(cuò)誤
    A7 - 跨站腳本（XSS）
    A8 - 不安全的反序列化
    A9 - 使用含有已知漏洞的組件
    A10 - 記錄和監(jiān)控不足