OWASP Top 10

OWASP Top 10 2017

开放式Web应用程序安全项目

0x00背景说明

OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。

针对每个安全隐患,OWASP Top 10将提供:

描述

示例漏洞

示例攻击

防范指南

OWASP参考源及其他相关资源

开源web应用安全项目(OWASP)是一个开放的社区,致力于帮助各企业组织开发、购买和维护可信任的应用程序。在OWASP,您可以找到以下免费和开源的信息:

应用安全工具和标准

关于应用安全测试、安全代码开发和安全代码审查方面的全面书籍

标准的安全控制和安全库

全球各地分会

尖端研究

专业的全球会议

邮件列表

更多信息,请访问:http://www.owasp.org


2017 OWASP Top10与2013年的列表相比,最大的不同点在于新出现的两种漏洞分类:

  • “不充足的攻击检测与预防”
  • “未受保护的API”

    新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置,OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”,将两者归入“失效的访问控制”,而“失效的访问控制”则是2004列表中原有的分类。

以下是OWASP提供的新分类描述:

“不充足的攻击检测与预防”:“大多数应用和API缺乏基本的能力,来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证,它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

“未受保护的API”:“现代的应用常常涉及富客户端应用程序和API,比如浏览器和移动App中的Java,连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。

#OWASP Top 10 2017 rc1全文翻译

滴滴安全DSRC翻译了候选版(非正式发布版)以便于大家快速阅读,

完成版报告下载链接: http://pan.baidu.com/s/1bo9fs55 密码: c296