OWASP TOP 10 For 2010
上一篇 / 下一篇 2011-03-07 19:51:14 / 个人分类:安全测试
OWASP的全名是Open Web Application Security Project,OWASP Top 10就是威胁最大的10个Web应用安全漏洞。
其中OWASP Top 10 - 2010 Document这个链接给了个文档,里面有各个漏洞的例子和预防措施。
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf
转个中文的简要说明吧(http://www.btbuzz.com/websec/123):
对web security做出巨大贡献的OWASP和它的TOP 10
2010/07/30 By uniroc 留言
说起Web Security,不得不提到 Open Web Application Security Project (OWASP) (没有发现有合适的翻译,如果非要翻译,可以按大意译作“开源Web安全项目”)。
OWASP是一个基于501(c)3条款的免税非营利组织,它被众多权威性机构如美国联邦贸易委员会、美国国防部、国际信用卡数据安全技术PCI标准等列为Wep application安全规范。OWASP专注于web安全,而且有很多的web安全方面的项目,而其中最广受观注的也就是他的Top 10。
它的Top 10,也就是十大最重要的web应用程序危险报告备受广大从事安全行业的同行的重视。这 个报告能够很好的反映web安全所面临的威胁和这些威胁的发展趋势,它不仅面向使用者,更加能够对web 开发者有很好的指导作用。时常关注这些主要的安全问题能让我们在开发的过程中有的放矢的避免这些问题。但是笔者想提醒大家的是安全是一个很大的话题,也有 着很多种类的威胁,这些Top 10问题是目前最流行的安全问题,但绝不是仅有的安全问题。
这份报告Top 10报告第一版开始于2003年,此后在2004年、2007年、2010年 4月19日(2007 RC版也就是候选版本发布于2009年11月)分别更新。
OWASP TOP 10 2007与2010年变化比较 --摘自 OWASP TOP 10 2010
A1 Injection Flaws(注入式漏洞)中的SQL 注入既是常见的vulnerability又是很重要的vulnerability,可以说不知道SQL 注入的人还不算进了安全的门槛。这个最常见的漏洞及其危害是个个搞安全的人都知道的,但是在平时的Web AP当中我们却还是能经常看到它的身影,它也不时的成为技术新闻的焦点。
A2 Cross Site Scripting(XSS 跨网站攻击)目前正成为Web安全的明星,它总能成为明星的关键原因是它总伴随facebook等明星网站出现。可以说XSS攻击是被动的,且相对比较难,但是对XSS攻击的防御更是难上加难。
特别值得一提的是A6 Security Misconfiguration(安全性错误配置),一个好的web程序不仅需要优秀的设计开发者,同样需要有着安全意识的管理者和使用者,这方面出现 的问题数不胜数。微软曾经将密码hardcode到系统中,网站管理员没有对网站配置文件设置为只读,为了让用户更快的访问网站,数据库没有设置 access control等等。值得一提的是本博最近发表的一篇文章 《1亿facebook网页在一个种子网站被曝光》[ http://www.btbuzz.com/websec/103 ]也是因为这些facebook用户配置不当造成了自己和朋友的信息泄露的。
仅从以上的个别vulnerability中我们已经可以感觉到OWASP TOP 10 这个项目的价值,那接下来就让我们人手一份这个项目报告,看看我们在设计和开发当中是否有出现过其中的vulnerability吧。
在这份Top 10在版权信息和WASP声明存在的前提下可以免费传播,大家可以直接点击下面的链接从BtBuzz下载历年的英文版和中文版pdf文档。另外,如果大家希望得到其他语言版本,可以从我提供的官方网站下载。
—————————————————从这里下载—————————————————————
OWASP TOP 10 2003年 英文版下载:OWASP-TopTen_en2003(Web技术日新月异,此文有点过时,仅作参考 )
OWASP TOP 10 2004年 英文版下载: OWASPTopTen2004OWASP TOP 10 2004年 中文版下载:OWASP_Top_Ten_2004_Chinese (截止目前为止唯一中文版本的TOP 10,我会尽快更新最新版本的英文版)
OWASP TOP 10 2007年 英文版下载:OWASP_Top_10_2007
OWASP TOP 10 2010 rc 英文版下载:OWASP_T10_-_2010_rc1
OWASP TOP 10 2010年 英文版下载:OWASP_Top_10_-_2010
OWASP 组织的官方网站:http://www.owasp.org/index.php/Main_Page (目前只有英文和拉丁文的官方说明,英文好的可以平时多爬一下)。
——————————————————————————————————————————-
在以后的文章中,我会分别详细介绍Top 10中的常见并且具有严重危害的vulnerability,包括其来源、原理、重要案例以及预防的基本措施等等。希望大家继续关注。
原创文章如转载,请注明:转载自 BtBuzz [http://www.btbuzz.com]本文链接: http://www.btbuzz.com/websec/123
TAG:
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | 6 | ||||
| 7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
| 14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
| 21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
| 28 | 29 | 30 | |||||||
数据统计
- 访问量: 69083
- 日志数: 44
- 文件数: 40
- 建立时间: 2010-12-06
- 更新时间: 2011-05-31
