El OWASP Top 10 2017 se basa principalmente en los datos de 11 grandes empresas especializadas en seguridad de aplicaciones, incluyendo 8 de consultorías y 3 vendedores de productos. Estos datos abarcan vulnerabilidades reunidas de cientos de organizaciones y más de 50.000 aplicaciones y APIs del mundo real. Los 10 temas principales se seleccionan y se priorizaron según los datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.

Esta importante actualización de 2017 modifica una categoría y agrega dos nuevos tipos de vulnerabilidades:


Control de acceso insuficiente (original de 2003/2004)
Prevención y detección insuficiente de ataques (nueva)
API desprotegidas (nueva)

Estas dos nuevas categorías nacieron de la fusión de las dos categorías anteriores de control de acceso insuficiente (2013-A4 y 2013-A7).

Además, en esta versión de 2017 se realizaron los siguientes cambios:


https://3.bp.blogspot.com/-YYfQBFaLnuQ/WO0211hqztI/AAAAAAAAR9Q/ADOHooNZuUcZvtdEtUppjBi-ls9JSXupACLcB/s1600/owasp2017.png


La nueva versión OWASP Top 2017 (RC) ya se puede descargar desde aquí (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project). Esta versión estará en revisión hasta junio.

Mas info:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Fuente:
http://blog.segu-info.com.ar/2017/04/owasp-top-10-2017-rc.html