b应用 程序安全漏洞所产生的后果。Top?10提供了防止这些高风险问题的基本方法,并提供了获得这些方法的来源。
警告
不要仅关注OWASP?Top?10。正如在OWASP开发者指南中所 讨论的,能影响整个
web应用程序安全的漏洞成百上千。 OWASP开发者指南是当今web应用程序开发人员的必读资 料。而OWASP测试指南和OWASP代码审查指南则指导人们 如何有效地查找web应用程序中的漏洞。这两本指南在发 布OWASP?Top?10的前版本时就已经进行了明显更新。 不断修改。此Top?10将不断更新。即使你不改变应用程序 的任何一行代码,你的应用程序可能已经存在从来没有被 人发现过的漏洞。要了解更多信息,请查看Top?10结尾的 建议部分,”写给开发人员、验证人员和企业组织的话“。 正面思考。当你已经做好准备停止查找漏洞并集中精力建 立强大的应用程序安全控制时,OWASP已经制作了应用程 序安全验证标准(ASVS)指导企业组织和应用
程序审查者 如何去进行验证。 明智使用工具。安全漏洞可能很复杂并且藏匿在代码行的 深处。查找并消除这些漏洞的最成本有效的方法就是配备 好的工具的专家。 向左推进。只有使用了一个安全的
软件开发周期才能保证 Web应用程序的安全。为了指导大家如何执行安全开发周 期,我们最近发布了开放软件保证成熟模型(SAMM)。 该模型是针对OWASP?CLASP项目的一个重大更新。
鸣谢
感谢Aspect?Security自2003年OWASP?Top?10项目成立以来,对该项 目的创始、领导及更新,同时
我们也感谢主要作者:Jeff?Williams 和Dave?Wichers。
我们也要感谢以下组织(网学)贡献了它们的漏洞数据用于支持该项目 2010版的更新: ?Aspect?Security ?MITRE–CVE ?Softtek ?WhiteHat?Security?Inc.–Statistics 另外,我们还要感谢以下为此新版本Top?10做出显著内容(
网学)贡献和 花时间审阅的专家们: ? Mike?Boberski?(Booz?Allen?Hamilton) ? Juan?Carlos?Calderon?(Softtek) ? Michael?Coates?(
Aspect?Security) ? Jeremiah?Grossman?(WhiteHat?Security?Inc.) ? Paul?Petefish?(Solutionary,?Inc.) ? Eric?Sheridan?(Aspect?Security) ? Neil?Smithline?(OneStopAppSecurity) ? Andrew?van?der?Stock? ? Colin?Watson?(Watson?Hall,?Ltd.) ? OWASP?Denmark?Chapter?(Led?by?Ulf?Munkedal) ? OWASP?Sweden?Chapter?(Led?by?John?Wilander) 感谢如下组织和个人将此新版本翻译成中文: ? OWASP 中国大陆分会 (Led by Rip Torn) ? OWASP 中文项目 ( 钟卫林, 高雯, 王颉, 于振东)
RN
发行说明
从2007版到2010版有什么改变?
互联网应用程序所受到的威胁随着攻击者和新技术的提升以及日益复杂的系统在不断改变。为了跟随前进的步伐, 我们周期性地更新OWASP Top 10。在本次2010年版本中,我们做了以下三点重大改变: 1) 我们明确说明这些Top 10是指十大风险,而不是十大常见漏洞。 详情请见下文的“应用程序安全风险”。 2) 我们改变了风险等级的评估方法,去取代仅依靠关联漏洞频率的办法。该新评估方法决定了如下表所示的Top 10排 序。 3) 我们更新了
列表中的其中两项: + 增加:A6-安全配置错误。这是2004年版本Top 10中的A10:不安全配置管理,由于不再被视为软件问题,因此 在2007年版本中被删除。但是,从一个企业组织风险和普遍性的角度考虑,它显然值得被重新列入Top 10。 + 增加:A10-尚未验证的重定向和转发。这一问题是第一次被列入Top 10。有证据表明这个相对未知的
问题已经广 泛存在并可以产生严重的破坏。 - 删除:A3-恶意文件执行。这个问题在很多环境中仍然是一个严重的问题。但是,其在2007年版本中提出的普遍 性由大量PHP应用程序问题而导致的。
PHP现在已经采用了更多默认的安全配置,从而降低了这个问题的严重程度