OWASP Top 10 2017
10項最嚴重的 Web 應用程序安全風險
?
“開源Web應用安全項目”(OWASP)是一個開放的社區(qū)卤档, 致力于幫助各企業(yè)組織開發(fā)赢乓、購買和維護可信任的應用程序绅络。
在OWASP ,您可以找到以下免費和開源的信息:
? 應用安全工具和標準;
? 關于應用安全測試、安全代碼開發(fā)和安全代碼審查 方面的完整書籍拳恋;
? 演示文稿和視頻;
? 關于常見風險的Cheat Sheets砸捏;
? 標準的安全控制和安全庫谬运;
? 全球各地分會;
? 尖端技術研究垦藏;
? 專業(yè)的全球會議梆暖;
? 郵件列表。
?
所有的OWASP工具掂骏、文檔轰驳、論壇和全球各地分會都是開放 的,并對所有致力于改進應用程序安全的人士開放弟灼。
我們主張將應用程序安全問題看作是人滑废、過程和技術的問題, 因為提供應用程序安全最有效的方法是在這些方面提升袜爪。
OWASP是一個新型組織。我們沒有商業(yè)壓力薛闪,使得我們能 夠提供無偏見辛馆、實用、低成本的應用安全信息豁延。 盡管OWASP支 持合理使用商業(yè)安全技術昙篙,但OWASP不隸屬于任何技術公司。 和許多開源軟件項目一樣诱咏,OWASP以一種協(xié)作苔可、開放的方式制 作了許多不同種類的材料。
OWASP基金會是確保項目長期成功的非營利性組織袋狞。幾乎 每一個與OWASP相關的人都是一名志愿者焚辅,這包括了OWASP 董事會映屋、全球各地分會會長、項目領導和項目成員同蜻。用資金 和基礎設備來支持創(chuàng)新的安全研究棚点。
期待您的加入!
?
目錄
關于OWASP ………………………………………………………………………….… 1
FW- 前言 ………………………………………………………………………..……… 2
I- 簡介……………………………………………………………………………….……3
RN- 發(fā)布說明……………………………………………………………………………4
Risk- 應用程序安全風險……………………………………………………………..…5
T10- OWASP Top 10 應用軟件安全 -風險 – 2017 …………………………….…...6
A1:2017- 注入 ……………………………………………………………………..…..7
A2:2017- 失效的身份認證………………………………………………….….......… 8
A3:2017- 敏感信息泄露………………………………………..………..…….......… 9
A4:2017- XML 外部實體(XXE)……………………………………………………10
A5:2017- 失效的訪問控制……………………………………………………………11
A6:2017- 安全配置錯誤……………………………………………..……………..…12
A7:2017- 跨站腳本(XSS)…………………………………………………….……13
A8:2017- 不安全的反序列化…………………………………………………..…..…14
A9:2017- 使用含有已知漏洞的組件……………………………………..………..…15
A10:2017- 不足的日志記錄和監(jiān)控………………………………………….…….…16
+D- 開發(fā)人員下一步做什么湾蔓?……………………………………………………..…17
+T- 安全測試下一步做什么瘫析?…………………………………………………………18
+O- 企業(yè)組織下一步做什么?…………………………………………………..……19
+A- 應用程序管理者下一步做什么默责?………………………………………..………20
+R- 關于風險的備注說明……………………………………………………..………21
+RF- 關于風險因素的詳細說明…………………………………………….…………22
+DAT- 方法論和數(shù)據(jù)………………………………………………………….………23
?
掃描下方贬循,閱讀全文,全面了解OWASP
