O
前言
关于 OWASP
关于OWASP
开源web应用安全项目(OWASP)是一个开放的社区, 致力于帮助各企业组织开发、购买和维护可信任的应用程 序。在OWASP,你可以找到以下
免费和开源的信息: ? 应用安全工具和标准 ? 关于应用安全测试、安全代码开发和安全代码审查 方面全面的书籍 ? 标准的安全控制和安全库 ? 全球各地分会 ? 尖端研究 ? 专业的全球会议 ? 邮件列表 ? 以及更多...所有的信息都可以在owasp.org找 到。 所有的OWASP工具、文档、论坛和全球各地分会都是免 费的,并对所有致力于改进应用程序安全的人士开放。我们 主张将应用程序安全问题看作是人、过程和技术的问题,因 为提供应用程序安全最有效的方法是在这些方面提升。 OWASP是一个新型组织。没有商业压力使得我们能够提 供无偏见、实用、低成本的应用安全方面的信息。 尽管 OWASP支持合理使用商业的安全技术,但是OWASP不隶属 于任何技术公司。和许多开源软件项目一样,OWASP以一种 协作、开放的方式制作了许多不同种类的材料。 OWASP基金会是确保项目长期成功的非营利性组织。几 乎每一个与OWASP相关的人都是一名志愿者,这包括了 OWASP董事会、全球委员会、全球各地分会会长、项目领导 和项目成员。我们用捐款和基础设备来支持创新的安全研 究。 我们期待您的加入!
不安全的软件已经在破坏着我们的金融、医疗、国 防、能源和其他重要
网络架构。随着我们的数字化架构 变得越来越复杂并相互关联,实现应用程序安全的难度 也呈指数级增加。我们再也不能忽视象OWASP Top 10 中所列出相对简单的安全问题。 Top 10项目的目标是通过找出企业组织所面临的最 严重的风险来提高人们对应用程序安全的关注度。Top 10项目被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC等等。此版本的 OWASP Top 10标记了该项目这八年来对于应用程序安 全风险重要性认知的推广。OWASP Top 10最初于2003 年发布,并于2004年和2007年相继做了少许的修改更 新。本次发布的是2010年版本。 我们鼓励各位通过使用此Top 10帮助你的企业组织 了解应用程序安全。开发人员可以从其他企业组织的错 误中
学习到经验。而执行人员需要开始思考如何管理软 件应用程序在企业内部产生的风险。 但是Top 10 并不是一个应用安全计划。展望未来, OWASP建议各个企业组织建立一个强大的培训、标准 和工具的基础确保能进行安全地编码。在这一基础之 上,各个企业组织需要将安全融合到软件开发,验证和 维护的过程中。 管理层能使用这些过程中产生的数据来 对应用安全进行成本管理和风险管理
。 我们希望OWASP Top 10能有助于你的应用程序安 全。如果有任何疑问、评论以及想法,请不要犹豫,立 即通过公开的OWASP-3710167@qq.com.org或者私 人的dave.3710167@qq.com,与我们取得联系。 owasp.org/index.php/Topten
版权和许可
2003-2010 OWASP基金会?
版权所有 本
文档的发布基于Creative Commons Attribution ShareAlike3.0 license。任何重复使用或发行, 都必须向他人澄清该
文档的许可条款。
I
欢迎
简介
欢迎阅读2010年版本的OWASP?Top?10!此次重大的更新以更简洁、风险为核心的方式列出10项最严重的web应用程 序安全风险。OWASP?Top?10项目始终关注于风险,但这次的更新修改将此版本比以前版本更加清晰明了。此版本还提供 了更多关于如何评估应用程序风险的信息。 对于Top10中的每一项安全风险,该版本讨论了一般可能性,和作用于分类的典型严重后果。该版本然后向读者描 述了如何确认你是否存在该风险、如何避免风险、常见的漏洞案例,以及更多相关信息链接的指导。 OWASP?Top?10的首要目的是培训开发人员、设计人员、架构师、经理和企业组织,让他们认识到最严重的we