本次开放Web应用程序安全项目披露的最新十大软件漏洞榜单为最终确定版，其中对今年早些时候发布的草案内容作出了部分修改，且包含三大新型安全漏洞类别。 [出自:jiwo.org]

这三大新型安全漏洞类别分别为：

XML外部实体（XML External Entity，简称XXE），此类安全漏洞亦为Billion Laughs攻击的根本来源。

不安全反序列化，Equifax公司正是由于未安装补丁以修复Apache Struts中的相关安全漏洞，才导致今年夏季发生大规模数据泄露事件。

这些新的漏洞类别源自OWASP呼吁之后，各方所提交的40多套漏洞数据集；此外，这一结果亦对面向安全社区成员发送的515份调查问卷邮件答复作出了总结。

另外，新增不良日志记录这一类别。

排名变化

本次榜单中的前两名——注入漏洞（常见于SQL数据库）以及失败的身份验证与会话管理——与2013年发布的上轮结果相比仍然保持不变。

敏感数据泄漏问题则由原本的第六位上升至第三位，跨站脚本（简称XSS）则由原本的第三位下落至第七位。

在本次榜单当中，原本的两类安全漏洞——不安全的直接对象引用（第四位）与功能级访问控制缺失（第七位）——此番被合并为失效的访问控制（第五位）。

排名跌出前十的安全漏洞类别

以下两种安全漏洞类别则在新一轮排名中被挤出榜单前十位：

• 跨站请求伪造：该类漏洞在2013年版本当中位列第八，但目前在整理者收集到的新数据集中占比已经不足5%。目前排名为第十三位。
• 未验证的重新定向与转发：该类漏洞在2013年版本当中位列第十，但目前在整理者收集到的新数据集中占比已经不足1%，目前排名为第二十五。

此前于5月公布的草案曾经引起一场激烈的抗议，人们指责整理者与社交媒体之间存在裙带关系与腐败往来。相关作者随后辞职，而榜单更新任务则被交给另一支新团队负责打理。

这份榜单最初公布于2003年，且之后第三到四年进行一次更新。OWASP前十位榜单，现有版本为2013年发布，拟议版本则计划于2017年发布。OWASP方面亦指出，此份榜单是其网站当中下载量最大的文件。