OWASP_TOP10_2010_WEB安全VIP专享VIP免费

1 / 34 OW ASP TOP 10-2010 开放式Web 应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 OWASP 发布了最新的Web 应用脆弱性的top 10，这是继 2007 年 OWASP 对 TOP10进行修订后进行的又一次更改，该版本暂定为 OWASP TOP 10 - 2010。新版本的OWASP TOP10 中主要有以下变化： 1. Top10 的命名发生了变化。 原先的Top10 全称为“The top 10 most critical web application security vulnerabilities”，即“Web 应用的十大关键脆弱性”，现在 Top10 的全称为“The top 10 most critical web application security risks”，即“Web 应用的十大关键风险”。 2. OWASP Top 10 的风险评估方法 此次 Top 10 的评估是依据 OWASP 的风险评估方法来对 OWASP TOP10 排序的。 3. 替换了 2 个风险 此次 Top 10 与2007年的Top 10 相比， 在内容上去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理)，增加了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and forwards”(未验证的重定向和传递)。 OW ASP TOP10 2007 OW ASP TOP10 2010 A2-注入 A1-注入 A1-跨站脚本（XSS） A2-跨站脚本（XSS） A7-错误的认证和会话管理 A3-错误的认证和会话管理 A4-不正确的直接对象引用 A4-不正确的直接对象引用 A5-伪造跨站请求（CSRF） A5-伪造跨站请求（CSRF） A6-安全性误配置 A10-限制远程访问失败 A7-限制远程访问失败 A8-未验证的重定向和传递 A8-不安全的加密存储 A9-不安全的加密存储 A9-不足的传输层保护 A10-不足的传输层保护 A3-恶意文件执行 A6-不安全的通讯 2 / 34 OW ASP 风险评估方法 OW ASP 所选取的10 大风险是依据OW ASP 的风险评估方法，我们从标准的风险模型开始，即风险=可能性*后果，下面我们以以下步骤来说明某个风险的严重程度： 第一步：识别风险 识别风险作为评估的第一步，我们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能造成的后果，当然可能存在多种攻击方法和多种后果，在评估时我们往往会采用最...