OWASP Top 10 2017
10项最严重的 Web 应用程序安全风险
“开源Web应用安全项目”(OWASP)是一个开放的社区, 致力于帮助各企业组织开发、购买和维护可信任的应用程序。
在OWASP ,您可以找到以下免费和开源的信息:
• 应用安全工具和标准;
• 关于应用安全测试、安全代码开发和安全代码审查 方面的完整书籍;
• 演示文稿和视频;
• 关于常见风险的Cheat Sheets;
• 标准的安全控制和安全库;
• 全球各地分会;
• 尖端技术研究;
• 专业的全球会议;
• 邮件列表。
所有的OWASP工具、文档、论坛和全球各地分会都是开放 的,并对所有致力于改进应用程序安全的人士开放。
我们主张将应用程序安全问题看作是人、过程和技术的问题, 因为提供应用程序安全最有效的方法是在这些方面提升。
OWASP是一个新型组织。我们没有商业压力,使得我们能 够提供无偏见、实用、低成本的应用安全信息。 尽管OWASP支 持合理使用商业安全技术,但OWASP不隶属于任何技术公司。 和许多开源软件项目一样,OWASP以一种协作、开放的方式制 作了许多不同种类的材料。
OWASP基金会是确保项目长期成功的非营利性组织。几乎 每一个与OWASP相关的人都是一名志愿者,这包括了OWASP 董事会、全球各地分会会长、项目领导和项目成员。用资金 和基础设备来支持创新的安全研究。
期待您的加入!
目录
关于OWASP ………………………………………………………………………….… 1
FW- 前言 ………………………………………………………………………..……… 2
I- 简介……………………………………………………………………………….……3
RN- 发布说明……………………………………………………………………………4
Risk- 应用程序安全风险……………………………………………………………..…5
T10- OWASP Top 10 应用软件安全 -风险 – 2017 …………………………….…...6
A1:2017- 注入 ……………………………………………………………………..…..7
A2:2017- 失效的身份认证………………………………………………….….......… 8
A3:2017- 敏感信息泄露………………………………………..………..…….......… 9
A4:2017- XML 外部实体(XXE)……………………………………………………10
A5:2017- 失效的访问控制……………………………………………………………11
A6:2017- 安全配置错误……………………………………………..……………..…12
A7:2017- 跨站脚本(XSS)…………………………………………………….……13
A8:2017- 不安全的反序列化…………………………………………………..…..…14
A9:2017- 使用含有已知漏洞的组件……………………………………..………..…15
A10:2017- 不足的日志记录和监控………………………………………….…….…16
+D- 开发人员下一步做什么?……………………………………………………..…17
+T- 安全测试下一步做什么?…………………………………………………………18
+O- 企业组织下一步做什么?…………………………………………………..……19
+A- 应用程序管理者下一步做什么?………………………………………..………20
+R- 关于风险的备注说明……………………………………………………..………21
+RF- 关于风险因素的详细说明…………………………………………….…………22
+DAT- 方法论和数据………………………………………………………….………23
扫描下方,阅读全文,全面了解OWASP
