2007十大Web安全漏洞 跨站脚本攻击XSS居首

OWASP 2007十大Web安全漏洞第一至第十名分别为：
1.年初曾发生在知名文件阅读器Adobe Acrobat Reader上的跨站脚本攻击(Cross Site scrīpting,XSS);
2.疑似使微软英国网站被骇的隐码攻击(Injection Flaw，包括SQL Injection及Command Injection)居次;
3.第三位则是Web应用程序引入外部恶意程序的恶意文件执行攻击(Malicious File Execution);
4.应用程序可任意访问文件的Insecure Direct Object Reference;
5.让合法使用者执行恶意程序指令却可能被允许的Cross-Site Request Forgery(CSRF);
6.错误信息泄露机密数据的Information Leakage and Improper Error Handling;
7.身份验证功能缺陷的Broken Authentication and Session Management;
8.敏感数据加密不安全或无加密的Insecure Cryptographic Storage;
9.传输数据未加密Insecure Communication;
10.因无权限控制导致可直接存取数据的Failure to Restrict URL Access。

OWASP台湾分会主席黄耀文在新闻稿中表示，该安全漏洞报告乃经由OWASP的资深安全专家，依Web安全弱点的严重性、与是否易于被黑客采用等依据所选出，作为网站开发人员开发时的安全参考。

在Web 2.0流行风潮下，新的网页应用程序开发与相关技术(如AJAX)的应用，成为网站欲出奇致胜的重点，但在网站经营者争相提供创新网页服务的情况下，网页应用程序的安全性也成为新的问题。

厂商则建议企业采用网页应用防护设备设备来检测网站漏洞。
例如阿码科技(Armorize Technologies)即推出网页应用程序原始码检测器CodeSecure Verifier，以自动静态分析(Automated Static Analysis)技术，提供网页应用程序开发人员从开发过程到上线后的开发生命周期的原始程序代码分析。

至于NetContinuum、F5与Check Point等厂商，则是推出网页应用防火墙(Web Application Firewall)，或将其功能整并入如UTM等网络安全硬件中，以阻隔针对网页应用而来的攻击的方式，达到保护网页应用安全性的目标。