Estaba leyendo artículos sobre OWASP A2 (2017) y el cuadro comparativo que se encuentra a continuación. Una cosa que noté fue que la "Administración de sesión y cuenta rota" ha cambiado de lugar con los años:
¿Cuál es la razón de esto?
Entiendo que están calificados según la prevalencia de ese riesgo específico en la naturaleza.
Esto se explica en la introducción de los 10 principales de OWASP aquí
Bienvenido al Top 10 de OWASP ... r ordena algunos de los otros basados en cambiando los datos de prevalencia.
Entonces, A1 es más común en la naturaleza que A2 y así sucesivamente.
Lea otras preguntas en las etiquetas owasp owasp-top-ten