信瑞时代——专注IT科技12年

10项最严重的 Web 应用程序安全风险


OWASP Top 10 2017

10项最严重的 Web 应用程序安全风险



关于OWASP

“开源Web应用安全项目”(OWASP)是一个开放的社区, 致力于帮助各企业组织开发、购买和维护可信任的应用程序。

OWASP ,您可以找到以下免费和开源的信息:

应用安全工具和标准;

• 关于应用安全测试、安全代码开发和安全代码审查 方面的完整书籍;

• 演示文稿和视频;

• 关于常见风险的Cheat Sheets;

• 标准的安全控制和安全库;

• 全球各地分会;

• 尖端技术研究;

• 专业的全球会议;

• 邮件列表。


     所有的OWASP工具、文档、论坛和全球各地分会都是开放 的,并对所有致力于改进应用程序安全的人士开放。

我们主张将应用程序安全问题看作是人、过程和技术的问题, 因为提供应用程序安全最有效的方法是在这些方面提升。

      OWASP是一个新型组织。我们没有商业压力,使得我们能 够提供无偏见、实用、低成本的应用安全信息。 尽管OWASP支 持合理使用商业安全技术,但OWASP不隶属于任何技术公司。 和许多开源软件项目一样,OWASP以一种协作、开放的方式制 作了许多不同种类的材料。

      OWASP基金会是确保项目长期成功的非营利性组织。几乎 每一个与OWASP相关的人都是一名志愿者,这包括了OWASP 董事会、全球各地分会会长、项目领导和项目成员。用资金 和基础设备来支持创新的安全研究。

期待您的加入!


目录

关于OWASP ……………………………………………………………………………………….…… 1

FW- 前言 ……………………………………………………………………………………..………… 2

I- 简介…………………………………………………………………………………………….…………3

RN- 发布说明……………………………………………………………………………………………4

Risk- 应用程序安全风险……………………………………………………………………………5

T10- OWASP Top 10 应用软件安全 -风险 – 2017 …………………………….…6

A1:2017- 注入 …………………………………………………………………………………………7

A2:2017- 失效的身份认证………………………………………………………………….…… 8

A3:2017- 敏感信息泄露…………………………………………………………………..……… 9

A4:2017- XML 外部实体(XXE)……………………………………………………………10

A5:2017- 失效的访问控制………………………………………………………………………11

A6:2017- 安全配置错误………………………………………………………………………..…12

A7:2017- 跨站脚本(XSS)……………………………………………………………….……13

A8:2017- 不安全的反序列化……………………………………………………………..……14

A9:2017- 使用含有已知漏洞的组件……………………………………………………..…15

A10:2017- 不足的日志记录和监控……………………………………………………….…16

+D- 开发人员下一步做什么?……………………………………………………………..…17

+T- 安全测试下一步做什么?…………………………………………………………………18

+O- 企业组织下一步做什么?…………………………………………………………..……19

+A- 应用程序管理者下一步做什么?………………………………………..……………20

+R- 关于风险的备注说明………………………………………………………………..………21

+RF- 关于风险因素的详细说明…………………………………………………….…………22

+DAT- 方法论和数据……………………………………………………………………….………23


扫描下方,阅读全文,全面了解OWASP

    


SysTime Technology
地址:广东省深圳市福田区中康路卓越城1期4栋11楼
电话:+86 755 32904845   18948770502
邮箱:apple@systime.com.cn