Il panorama delle minacce per le applicazioni Internet è mutevole: i fattori chiave di questa evoluzione sono i progressi realizzati dagli attaccanti nell'individuare e sfruttare con tecniche complementari e strumentali, come l'ingegneria sociale, le nuove vulnerabilità, il rilascio di nuove tecnologie nonché la realizzazione di sistemi sempre più complessi ed integrati.

Pertanto la OWASP top 10 viene modificata periodicamente e dall'ultima pubblicazione del 2007 sono state introdotte modifiche significative:

1) la top 10 si riferisce ai rischi ovvero all'impatto connesso allo sfruttamento delle vulnerabilità relative alle applicazioni web e non, quindi, alle vulnerabilità più comuni che interessano il web.

2) è stata modificata la metodologia di ranking per la stima del rischio che non si basa più soltanto sulla frequenza di alcune vulnerabilità. Questo nuovo approccio ha influenzato conseguentemente l'ordine dei Top 10, come si può vedere nella tabella sottostante.

A6-Security Misconfiguration scomparsa nell'edizione 2007 perché non si riteneva essere un problema software ma presente nell'edizione 2004.Tuttavia, da un punto di vista della valutazione del rischio all'interno di un'organizzazione e per la frequenza con cui può avvenire una errata configurazione di alcuni parametri delle applicazioni web che possono avere ripercussioni significative sulla sicurezza è stata reintrodotta sebbene in una posizione più arretrata.

A10-Unvalidated Redirects e foewards. E questo un impatto introdotto per a prima volta nella top 10: risulta, infatti, che sebbene relativamente sconosciuto è una vulnerabilità molto diffusa e può causare danni significativi.

Sono state, invece, rimosse dalla precedente top 10 le seguenti voci:

A3 –Malicious File Execution (esecuzione di file predisposti per sfruttare un vulnerabilità). Tale impatto, sebbene interessi ancora molte applicazioni, non è più presente nell'attuale versione 2010 della top 10 in quanto PHP era interessato nelle precedenti versioni da questa vulnerabilità che ne ha decretato l'inserimento nell'edizione 2007 , oggi è più sicuro. Le recenti versioni di PHP, infatti, sono state sviluppate in maniera tale da scongiurare tale rischio per la sicurezza.

A6 –Information Leakage and Improper Error Handling. E' il rischio sotteso al rilascio di informazioni c.d. di debug ovvero dei messaggi di errori che possono rilevare informazioni utili per il prosieguo di un attacco. E' in genere associata alla c.d. "misconfiguration" ovvero una errata configurazione dei sistemi reintrodotto, come indicato sopra, nella top 10 del 2010 .

Di seguito si riporta la tabella tratta dal report OWASP che è possibile consultare nella sezione download del CERT-SPC