开放式Web应用程序安全项目(OWASP)是一个非营利组织,致力于提供有关应用程序安全性的无偏见的实用信息。 
创建了OWASP十大Web应用程序安全风险  in 2010, 2013 and 2017年向开发人员和安全专业人员提供有关Web应用程序中常见的最关键漏洞的指南,这些漏洞也易于利用。这10种应用程序风险很危险,因为它们可能使攻击者植入恶意软件,窃取数据或完全接管您的计算机或Web服务器。
符合OWASP合规性标准通常是迈向安全代码的第一步。

2017年 

OWASP – 2017年年十大应用程序安全风险

  • A1。注射
  • A2。认证失败
  • A3。敏感数据暴露
  • A4。 XML外部实体(新)
  • A5。损坏的访问控制(合并)
  • A6。安全配置错误
  • A7。跨站脚本
  • A8。不安全的反序列化(NEW)
  • A9。使用具有已知漏洞的组件
  • A10。日志记录和监控不足(NEW)

Top 10

  • A1注射
  • A2身份验证和会话管理中断
  • A3跨站点脚本(XSS)
  • A4-不安全的直接对象引用
  • A5-安全性错误配置
  • A6敏感数据暴露
  • A7-缺少功能级别的访问控制
  • A8跨站请求伪造(CSRF)
  • A9-使用已知漏洞的组件
  • A10未经验证的重定向和转发
对于2010年,OWASP十大最关键的Web应用程序安全风险是:

  • A1:注射
  • A2:跨站点脚本(XSS)
  • A3:身份验证和会话管理中断
  • A4:不安全的直接对象引用
  • A5:跨站点请求伪造(CSRF)
  • A6:安全性配置错误
  • A7:不安全的密码存储
  • A8:无法限制URL访问
  • A9:传输层保护不足
  • A10:未经验证的重定向和转发

参考文献:

OWASP
·        
OWASP风险评级方法
外部
·        
ISO 31000:风险
管理标准
·        
ISO 27001:ISMS
·        
NIST网络框架(美国)
·        
ASD战略
缓解措施(AU)
·        
NIST CVSS 3.0
·        
微软威胁
建模工具

通过 约翰

发表评论