中文版《OWASP TOP 10 2017》（附下载链接）

OWASP TOP 10 2017下载链接

OWASP TOP 10

有人说 OWASP TOP 10是安全漏洞；

有人说 OWASP TOP 10是安全攻击；

有人说 OWASP TOP 10是安全威胁；

有人说 OWASP TOP 10是安全问题。

No！No！No！OWASP和OWASP中国的官方说明：OWASP TOP 10描述的是应用软件面临的安全风险！

本版本《OWASP TOP 10》的两个关键区别是收集了OWASP全球区域反馈的大量意见和企业组织提供的数据集。这些数据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的安全信息。10大应用软件安全风险是根据这些数据的流行程度选择和优先排序，并结合对可利用性、可检测性和影响程度的一致性评估而形成。因此，OWASP和OWASP中国相信，新版《OWASP TOP 10》代表了当前全球应用软件组织面临的最具影响力的应用程序安全风险。

2017年最终版TOP 10十大应用软件安全风险

A1:2017 – 注入A2:2017 – 失效的身份认证A3:2017 – 敏感信息泄漏A4:2017 – XML外部实体（XXE）

A5:2017 – 失效的访问控制A6:2017 – 安全配置错误A7:2017 – 跨站脚本（XSS）A8:2017 – 不安全的反序列化A9:2017 – 使用含有已知漏洞的组件A10:2017 – 不足的日志记录和监控详细信息，点击阅读原文，敬请参阅中文版《OWASP TOP 10 2017》文档

项目赞助

感谢SecZone对2017年版“OWASP TOP 10”中文项目（包括：RC1版、RC2版和最终版）提供的赞助，及中文版《OWASP TOP 10 2017》全球发布提供的支持。

感谢参与项目的成员及OWASP中国区域负责人

项目组长：王颉（OWASP中国副主席兼成都地区负责人）

翻译人员：（排名不分先后，按姓氏拼音排列）

陈亮（OWASP中国北京地区负责人）

王颉（OWASP中国副主席兼成都地区负责人）

王厚奎（OWASP中国广西地区负责人）

王文君（OWASP中国上海地区负责人）

王晓飞（OWASP中国会员）

吴楠（OWASP中国辽宁地区负责人）

徐瑞祝（OWASP中国会员）

夏天泽（OWASP中国安徽地区负责人兼OWASP S-SDLC负责人）

杨璐（OWASP中国会员）

张剑钟（OWASP中国山东地区负责人）

赵学文（OWASP中国会员）

审查人员：（排名不分先后，按姓氏拼音排列）

Rip（OWASP中国主席兼OWASP S-SDLC负责人）

包悦忠（OWASP中国副主席）

李旭勤（OWASP中国会员）

张家银（OWASPS-SDLC负责人）

汇编人员：赵学文（OWASP中国会员）

2017年版OWASP TOP 10历经坎坷，在经过了RC1版、RC2版和最终版三个阶段才最终发布。OWASP中国特别感谢以下人员能持续参与和支持三个版本的工作：王颉、夏天泽、吴楠、王厚奎、许飞、李晓庆。

SecZone

SecZone，成立于2013年，是国内软件安全开发全生命周期（S-SDLC）解决方案的创领者和领先的S-SDLC解决方案提供商，专注于软件安全领域技术研究，持续为客户构建安全、可靠的业务系统。公司发展理念：“让企业交付安全的软件”。同时，SecZone是全球顶级安全组织OWASP组织中国分部的运营机构、应用安全联盟ASC牵头单位、中国信息安全测评中心“注册软件安全专业人员（CWASP CSSP）”培训认证体系授权运营中心、国家信息安全漏洞库（CNNVD）三级技术支撑单位。

OWASP公众号与中文版下载链接

OWASP TOP 10 2017下载链接