开放式Web应用程序安全项目(OWASP)是一个非营利组织,致力于提供有关应用程序安全性的无偏见的实用信息。
创建了OWASP十大Web应用程序安全风险 in 2010, 2013 and 2017年向开发人员和安全专业人员提供有关Web应用程序中常见的最关键漏洞的指南,这些漏洞也易于利用。这10种应用程序风险很危险,因为它们可能使攻击者植入恶意软件,窃取数据或完全接管您的计算机或Web服务器。
符合OWASP合规性标准通常是迈向安全代码的第一步。
OWASP – 2017年年十大应用程序安全风险
- A1。注射
- A2。认证失败
- A3。敏感数据暴露
- A4。 XML外部实体(新)
- A5。损坏的访问控制(合并)
- A6。安全配置错误
- A7。跨站脚本
- A8。不安全的反序列化(NEW)
- A9。使用具有已知漏洞的组件
- A10。日志记录和监控不足(NEW)
Top 10
- A1注射
- A2身份验证和会话管理中断
- A3跨站点脚本(XSS)
- A4-不安全的直接对象引用
- A5-安全性错误配置
- A6敏感数据暴露
- A7-缺少功能级别的访问控制
- A8跨站请求伪造(CSRF)
- A9-使用已知漏洞的组件
- A10未经验证的重定向和转发
对于2010年,OWASP十大最关键的Web应用程序安全风险是:
- A1:注射
- A2:跨站点脚本(XSS)
- A3:身份验证和会话管理中断
- A4:不安全的直接对象引用
- A5:跨站点请求伪造(CSRF)
- A6:安全性配置错误
- A7:不安全的密码存储
- A8:无法限制URL访问
- A9:传输层保护不足
- A10:未经验证的重定向和转发
参考文献:
OWASP
外部
