OWASP Top10是什么?
OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。OWASP Top 10则是OWASP项目总结的
10大最关键Web应用安全隐患列表。
有什么新的变化?
OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了3个新分类。
开放网络应用程序安全项目(OWASP)在2013年发布了最新版本的臭名昭着的前10名漏洞排名。
OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安全团队评估错误报告。
OWASP多年来经历了几次迭代。 OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年发布。
与往年一样,注入仍然是应用程序安全风险的首要问题,但排名却出现了一些混乱,出现了三名新成员 - XML外部实体(XXE)、不安全的反序列化、不足的记录和监控。
同前几年一样,排名是根据用户意见和公开讨论编写的。
下面是一个描述每个漏洞的列表,以及比较OWASP 2017 Top 10和旧版迭代的表格。
A1:2017-Injection
Injection flaws, such as SQL, NoSQL, OS, and LDAP injection, occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.
A2:2017-Broken Authentication
Application functions related to authentication and session management are often implemented incorrectly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities temporarily or permanently.
A3:2017-Sensitive Data Exposure
