热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   新闻动态 -   正文

owasp十大web漏洞:owasp top 10详解

知了堂姐
2024-07-09 11:12:24
0
         随着互联网的迅猛发展,Web应用已成为我们日常生活和工作中不可或缺的一部分。然而,Web应用的安全问题也日益凸显,其中OWASP Top 10更是成为众多安全专家关注的焦点。本文将对owasp十大web漏洞进行详解,帮助更好地了解并防范这些潜在的安全威胁。
 
owasp十大web漏洞

        OWASP Top 10是针对开发人员和Web应用程序安全的一份标准意识文件。它代表了关于Web应用程序最关键的安全风险的广泛共识。全球开发者公认这是迈向更安全编码的第一步。公司应该采用这份文件,并开始确保其Web应用最小化这些风险的过程。使用OWASP Top 10或许是改变组织内软件开发文化、生产更安全代码的最有效第一步。
 
        Top 10 Web应用程序安全风险
        2021年的Top 10中有三个新类别,四个类别有命名和范围变化,以及一些合并。
        从A01-A10共10个类别的漏洞,以下为各类别说明:
 
owasp十大web漏洞
  • A01:2021-损坏的访问控制从第五位上升;94%的应用程序被测试了某种形式的访问控制破坏。映射到损坏访问控制的34个常见弱点枚举(CWEs)在应用程序中的出现次数超过任何其他类别。
  • A02:2021-加密失败上升到第二位,之前称为敏感数据暴露,这是一个广泛的症状而不是根本原因。这里的重新关注点是与加密相关的失败,这通常会导致敏感数据暴露或系统妥协。
  • A03:2021-注入下降到第三位。94%的应用程序被测试了某种形式的注入,而映射到这个类别的33个CWEs在应用程序中有第二多的出现次数。跨站脚本现在在这个版本中成为这个类别的一部分。
  • A04:2021-不安全设计是2021年的新类别,重点关注与设计缺陷相关的风险。如果我们真的想要作为一个行业“向左移动”,它呼吁更多使用威胁建模、安全设计模式和原则,以及参考架构。
  • A05:2021-安全配置错误从上一版的第6位上升;90%的应用程序被测试了某种形式的配置错误。随着更多转向高度可配置的软件,看到这个类别上升并不奇怪。前一个类别XML外部实体(XXE)现在成为这个类别的一部分。
  • A06:2021-易受攻击和过时的组件之前称为使用已知漏洞的组件,在Top 10社区调查中排名#2,但也有足够的数据通过数据分析进入Top 10。这个类别从2017年的第9位上升,是一个我们难以测试和评估风险的已知问题。它是唯一一个没有将任何CVEs映射到包含CWEs的类别,因此默认利用和影响权重为5.0被计算进它们的得分。
  • A07:2021-身份识别和认证失败之前称为损坏的身份验证,从第二位下滑,现在包括更与身份识别失败相关的CWEs。这个类别仍然是Top 10的重要组成部分,但标准化框架的增加可用性似乎有所帮助。
  • A08:2021-软件和数据完整性失败是2021年的新类别,关注于在未验证完整性的情况下对软件更新、关键数据和CI/CD管道做出假设。来自CVE/CVSS数据映射到这个类别中10个CWEs的影响权重最高。2017年的不安全反序列化现在成为这个更大类别的一部分。
  • A09:2021-安全日志和监控失败之前称为不足的日志和监控,并根据行业调查(#3)新增,从之前的第10位上升。这个类别扩展到包括更多类型的失败,难以测试,并且在CVE/CVSS数据中代表性不强。然而,这个类别中的失败可以直接影响可见性、事件响应和取证。
  • A10:2021-服务器端请求伪造根据Top 10社区调查新增(#1)。数据显示相对较低的发生率和高于平均水平的测试覆盖率,以及高于平均的利用和影响潜力评级。这个类别代表了安全社区成员告诉我们这很重要的情况,尽管目前数据中并未显示。
大家都在看

7月java+信安班再度开班,共赴梦想,圆梦IT...

2024-07-09 浏览次数:0

3天完成2个项目,所有没有项目产出的实训都是耍流...

2024-07-09 浏览次数:0

成都前端培训班一般多少钱?贵吗?

2024-07-09 浏览次数:0

网络安全岗位解析之网络安全运维工程师,网络安全运...

2024-07-09 浏览次数:0

采访完00后大学生的恋爱史,我惊呆了!

2024-07-09 浏览次数:0

学员故事|大二留学生来知了堂体会最美Java语言

2024-07-09 浏览次数:0
最新资讯
owasp十大web漏洞:ow... 随着互联网的迅猛发展,Web应用已成为我们日常生活和工作中不可或缺的一部分。然而,Web应用的安全问...