L’OWASP Top Ten est un document de sensibilisation pour la sécurité des applications Web la dernière version était la OWASP Top ten 2007 .
La version Pré-Final de l’OWASP Top Ten de 2010 a été officiellement présenté à la conférence OWASP AppSec DC le vendredi 13 novembre 2009. Le document est maintenant ouvert aux commentaires Jusqu’au 31 décembre .Il va ensuite être mis à jour et publié en version finale début 2010. envoyer vos commentaires à: dave.wichers{[at]}owasp.org.
Entre la version 2007 et 2010 peux de choses ont changé sinon :
- Une nouvelle classification par risque.
- L’entré dans le classement de deux nouvelles vulnérabilités :
- A6 :Mauvaise configuration des systèmes
- A8 :Mauvaise redirection ou transfert entre page web
- Suppression de l’A3 : l’exécution de fichier malveillant
- Suppression de l’A6 : la fuite d’informations et et mauvaise gestion des erreurs
- L’authentification défectueuse et la mauvaise gestion de session monte a la 3eme place.
Les membres du projet sont des spécialistes de la sécurité du monde entier qui ont partagé leur expertise pour produire cette liste. Il existe actuellement des versions en anglais, français, japonais, coréen et turc. Une version espagnole est en cours de réalisation.
La Comission Federal américaine de commerce recommande vivement que toutes les entreprises utilisent l’OWASP Top Ten et s’assurent que leurs partenaires font de même. La US Defense Information Systems Agency a sélectionné l’OWASP Top Ten comme une des clés pratique qui devraient être utilisées comme partie de la technologie DOD .
Dans le domaine commercial, le Payment Card Industry (PCI) standard a adopté l’OWASP Top Ten, et exige (entre autres) que tous les marchands fassent une révision du code pour tous leurs codes personnalisés.
La présentation de la conférence qui décrit les changements ainsi que chaque élément dans le nouveau Top 10 peut être téléchargé ici: (OWASP Top 10 à 2010 Présentation RC1)
La version PDF de OWASP Top 2010RC1 peut être téléchargé ici: OWASP_T10_-_2010_rc1.pdf .