OWASP在一篇博客文章中寫道，

「為什麼『跨站請求偽造』和『未經驗證的重定向和轉發』被刪除？這是由於隨著時間的推移，這些排名已經有了一些變化，特別是當我們只有8個數據支持點時，我們採用了新方法進行評定，因此這兩項並沒有在社區進行調查排名。這實際上是一個成功的標誌。刪除『跨站請求偽造』這個事實是OWASP Top 10成功完成其使命的一個信號。」

2017 OWASP Top10威脅解讀（*同前幾年一樣，排名是根據用戶意見和公開討論編寫的）

A1：2017-Injection（注入漏洞）

當不可信的數據作為命令或查詢語句的一部分被發送給解釋器的時候，會發生注入漏洞，包括SQL、NoSQL、OS以及LDAP注入等。攻擊者發送的惡意數據可能會誘使解釋器執行計劃外的命令，或在沒有適當授權的情況下訪問數據。

A2：2017-BrokenAuthentication（中斷身份認證）

與認證和會話管理相關的應用函數經常被錯誤地實現，從而允許攻擊者破壞密碼、密鑰或是會話令牌，或者利用其他的應用漏洞來暫時或永久地獲取用戶身份信息。

A3：2017-Sensitive DataExposure（敏感數據泄露）

許多web應用程序和API不能正確的保護敏感數據，如金融、醫療保健和PII（個人身份信息）等。攻擊者可能會竊取或篡改這些弱保護的數據，從而進行信用卡欺詐、身份盜竊或其他犯罪行為。在缺少額外保護（例如，在存放和傳輸過程中加密，且在與瀏覽器進行交換時需要特別謹慎）的情況下，敏感數據可能會受到損害。

A4：2017-XML ExternalEntities（XXE）XML外部處理器漏洞

許多過時的或配置不當的XML處理器在XML文檔內進行外部實體引用。外部實體可用於泄露內部文件，通過使用文件URI處理器、內部文件共享、內部埠掃描、遠程代碼執行以及拒絕服務攻擊等手段。

A5：2017-Broken AccessControl（中斷訪問控制）

限制「認證的用戶可以實現哪些操作」的命令沒有得到正確的執行。攻擊者可以利用這些漏洞訪問未經授權的功能和數據，例如訪問其他用戶的賬戶，查看敏感文件，篡改其他用戶的數據，更改訪問許可權等。

A6：2017-SecurityMisconfiguration（安全配置錯誤）

安全配置錯誤是最常見的問題。這通常是由不安全的默認配置，不完整或ad hoc配置，開放雲存儲，錯誤配置的HTTP標頭，以及包含敏感信息的詳細錯誤信息造成的。所有的操作系統、框架、庫、應用程序都需要進行安全配置外，還必須要及時進行系統更新和升級。

A7：2017-Cross-SiteScripting（XSS）跨站腳本攻擊

如果應用程序在未經適當驗證或轉義的情況下，能夠在新網頁中包含不受信任的數據，或是使用可以創建HTML或者JavaScript的瀏覽器API更新包含用戶提供的數據的現有網頁，就會出現XSS漏洞。XSS允許攻擊者在受害者的瀏覽器中執行腳本，這些腳本可以劫持用戶會話、破壞網站或將用戶重定向到惡意網站中。

A8：2017-InsecureDeserialization（不安全的反序列化）

不安全的反序列化漏洞通常會導致遠程代碼執行問題。即使反序列化錯誤不會導致遠程代碼執行，也可以被用來執行攻擊，包括重放攻擊、注入攻擊以及許可權提升攻擊等。

A9：2017-UsingComponents with Known Vulnerabilities（使用含有已知漏洞的組件）

組件（如庫、框架和其他軟體模塊）是以與應用程序相同的許可權運行的。如果存在漏洞的組件被利用，這種攻擊可能會導致嚴重的數據丟失或伺服器接管危機。使用已知漏洞組件的應用程序和API可能會破壞應用程序的防禦系統，從而啟動各種形式的攻擊，造成更為嚴重的影響。

A10：2017-InsufficientLogging & Monitoring（不足的記錄和監控漏洞）

不足的記錄和監控漏洞，再加上事件響應能力欠缺以及缺少有效的整合，使得攻擊者可以進一步攻擊系統，維持其持久性，轉而攻擊更多的系統，並篡改、提取或銷毀數據。大部分的數據泄露研究顯示，檢測出發生數據泄漏的時間通常需要超過200天，而且通常是外部機構率先發現數據泄漏的事實，而不是通過內部的審計流程或監控發現的。