Esto es muy controvertido y controvertido, pero quería proporcionarte algo para pensar para que tomes tu propia decisión.
Hay OWASP, CWE y WASC. No me gustan ninguno de ellos.
¿Por qué no debería usar ninguno de estos métodos de categorización?
Los 10 principales intentos de OWASP para proporcionar una lista más común en una vista de alto nivel de lo que ha sucedido en los últimos dos años. Pero cuando está creando informes técnicos, el intento de asignar vulnerabilidades a estas categorías de alto nivel deja mucho espacio para la interpretación y queda mucho espacio para las cosas que no encajan.
Toma estos ejemplos:
"Ejecución de código remoto mercurial en Importador": ¿Falta el control de acceso a nivel de función? Según OWASP, eso no es apropiado. enlace incluso dice que es para controlar el acceso a datos confidenciales, no para prevenir arbitrarios código de ejecución.
Pero hay más.
"La ejecución del código Git LFS" se coloca en "Otros". "La ejecución remota de código de GitHub para Windows" está en inyección.
¿Qué tienen estos tres en común? Son código de inyección. Pero bajo estas asignaciones de OWASP, son tres cosas diferentes. ¿Eso tiene sentido para un gerente que tiene que revisar su informe? Llámelo como es: ejecución remota de código. Cómo surgió, cómo solucionarlo, son cosas separadas de lo que es el problema, el problema es ejecutar códigos o comandos arbitrarios.
¿Por qué debería usar estos métodos de categorización?
La asignación a alguna categorización principal puede facilitar los informes al proporcionar la frecuencia con la que la organización se encuentra con XSS u otros problemas.
Palabra de advertencia final
La industria tiene algunos problemas que arreglar, y creo que este es uno grande. 10 categorías no es suficiente para el mapeo. 25 categorías están mejorando, pero su organización puede estar más orientada a aplicaciones móviles con puntos finales de API web, para las cuales la categorización como "Inyección" no funciona tan bien como la categorización de la inyección LDAP, o algo más.
La elección es, por supuesto, tuya, pero a lo largo de los años, esto es lo que he aprendido.