2017 Web 开发安全问题 TOP10,看看中枪了没?
OWASP Top 10项目对安全问题从威胁和脆弱性进行可能性分析,并结合技术和商业影响的分析,输出目前一致公认、最严重的十类web应用安全风险排名,并提出解决方案建议。
Top 10是一个高度提炼的输出,现实的意义在于帮助和指导开发者、安全测试人员、web应用安全管理团队,提高风险意识。其对于安全厂商的产品能力提升也有指导意义。
对于web安全风险管理以及企业安全建设,从来没有银弹,建议对照列表(需注意,OWASP历年来一直强调“不要停滞于OWASP Top 10”)结合自身环境、梳理影响自身应用安全的主要风险因素,并采取有重点的保护防范措施,在人员、流程以及技术层面进行提升。
OWASP TOP10 2017 RC2 包含内容如下:
-
A1 - 注入缺陷
-
A2 - 失效的身份认证和会话管理
-
A3 - 敏感数据泄露
-
A4 - XML 外部实体注入(XXE)
-
A5 - 无效的访问控制
-
A6 - 安全配置错误
-
A7 - 跨站脚本(XSS)
-
A8 - 不安全的反序列化
-
A9 - 使用含有已知漏洞的组件
-
A10 - 记录和监控不足