OWASP Top10 列表是否够用引发的分析
发布时间:2021-12-18 22:06:26 所属栏目:安全 来源:互联网
导读:对安全行业的人来说, OWASP Top10 恐怕没有人觉得陌生,这已经是一个众所周知的项目。这个项目已经运行了很多年,在过去的10年当中,这个项目分别在2004年、2007年、2010年、2013年、2017年几乎每三年发布一次更新,每一次发布的 Top10 漏洞列表都是当时最
对安全行业的人来说, OWASP Top10 恐怕没有人觉得陌生,这已经是一个众所周知的项目。这个项目已经运行了很多年,在过去的10年当中,这个项目分别在2004年、2007年、2010年、2013年、2017年几乎每三年发布一次更新,每一次发布的 Top10 漏洞列表都是当时最流行的前十个 Web 漏洞。 这个 Top10 列表也因此得到大众的认可,每一次更新也受到了很大的关注。很多 Web 安全的初学者也会选择将这个列表当作一个指导性的学习材料。 几年前,我有幸在公司内部负责过“应用安全”培训工作,课程的受众是公司刚入职的不同层级的开发测试人员(有时也有其他技术岗位的同事出现),他们都来自不同的公司,项目经验以及对安全的理解是水平不一的,可以说很大一部分人(特别是项目经验不够丰富或者没踩过多少坑的人)对安全漏洞的原理或防范知之甚少。很自然的,课程的目标就是让这些开发测试人员写出更安全的代码,提升代码质量。作为讲师,在有限的时间内(培训时长一般在1.5小时左右),讲解的内容要覆盖常见的 Web 漏洞原理、攻击方法以及修复方案,是要花一些心思的。为了更具普适性,我也很自然的选择了 OWASP Top10 作为培训指导大纲,但由于时间有限,我只选择了其中一些在业务开发中经常出现的漏洞。 OWASP Top10 回顾 OWASP Top10 是一个面向开发人员和 Web 应用程序安全性的标准意识文档。它代表了关于 Web 应用程序最关键的安全风险的广泛共识。—— OWASP Top10 官方说明 当前最新的 OWASP Top10 是2017版,相较于 2013版有了一些更改,主要的变化有: · 合并了 “A4不安全的直接对象引用”和“A7功能级访问控制缺失”,成为“A5:2017 失效的访问控制” · 去掉了 “A8 CSRF” · 去掉了 “A10未验证的重定向和转发” · 新增了 “A4:2017 XML外部实体(XXE)” · 新增了 “A8:2017-不安全的反序列化” · 新增了 “A10:2017-不足的日志记录和监控” (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |