什么是OWASP?
OWASP是一个Web应用程序安全项目(Open Web Application Security Project),由一个开放社区组成,致力于使组织能够开发,获取和维护可信任的应用程序。
owasp-顶部-十-2017在OWASP中,我们发现:
- 应用程序安全工具和标准有关应用程序安全性审查,安全源代码开发和源代码安全性审查的完整书籍,包括标准安全性控件和库。
所有工具,文档和资源都是免费的,并且对有兴趣提高应用程序安全性的任何人开放。
Web应用程序安全风险
OWASP定义了下表来评估漏洞的风险:
漏洞的风险
攻击者可以在整个应用程序中使用不同的攻击媒介,以危害您的组织。每个不同的向量可能严重或严重程度不足以引起对问题的关注。
有时,这些路线“容易”找到和利用,有时非常困难。同样,它们可能不会对系统造成影响或使系统停止运行。
风险如何计算?
OWASP Top 10专注于确定各种组织的最严重风险。对于每种风险,我们都确定了以下评级方案。
风险评级方案
只有组织知道您的业务细节。对于给定的应用程序,可能没有威胁代理可以执行所讨论的攻击。因此,您是必须评估每种风险及其可能对业务造成的影响的人。
OWASP前十名
关于以前公开的所有标准,OWASP定义了一个Top 10文档,权衡了最常见的漏洞和Web应用程序中最高的风险,这些文档是大多数公司和安全专家采用通用标准方法的基础。
这份包含10个最常见漏洞列表的文档每3年更新一次,因为许多漏洞,风险或利用它们的形式当然也会随着时间而发展。
最后一个公认的Top 10于2013年发布,遵循三年结构,它应该在去年发布,相反,由于现有漏洞的变化很少,该组织决定将其推迟一年并在2017年将其删除。
OWASP 2013年排名前10位与OWSP 2017年排名前10位
在下图中,您可以看到新旧版本之间的最大区别:
新旧版本之间的最大区别
可以看出,它仅在几个漏洞中发生了变化,以相同的方式保留了最常见的主要结构。2017年新版本的一些主要新颖之处包括:
- 由于排名前10位的漏洞,A8-CSRF消失了,因为由于应用程序的某些控制,已经进行的研究表明,仅在当前Web应用程序的5%中发现了该漏洞。引用应用程序代码,例如,A4引用在这种类型的代码分析中检测到的XML注入,将旧版2013的A4和A7合并以生成一个新漏洞,其中涵盖了,这是指对应用程序处理的信息的某些部分/资源的访问管理不当,还定义了另一个新漏洞,这是由于对日志的监视和管理不正确,以便在发生以下情况时评估应用程序的安全性攻击或入侵
尽管自2017年初以来,前十强一直在进行重塑,但直到最新版本发布才结束,它似乎是最终版本。目前,它正在被翻译成多种语言,包括西班牙语,因此它可能不会进行太多的相关更改。
在Áudea,我们不仅要遵循评论的前十名来执行我们的所有Web应用程序审核,而且还要遵循本文中评论的OWASP方法来执行其中包含所有安全性问题的所有测试。会发生在他们身上。
下载原始文件