[TOC]
OWASP是什么? 描述: Open Web Application Security Project (OWASP)开源Web应用安全项目(OWASP)是一个在线开放的社区,致力于帮助各企业组织开发、购买和维护可信任的应用程序。使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
并且每三年都会颁布相应的TOP 10风险分析,帮助网络安全IT从业人员了解安全标准以及风险管控,所以在web应用安全世界里有一个权威性的名词叫做OWASP我将它看做是做安全开发的标准;
OWASP 发布的标准:
OWASP Mobile Top 10 Risks:十大移动安全漏洞
Top 10 Proactive Controls:构建安全Web应用的十大控制措施
OWASP Application Security Verification Standard(ASVS):应用程序的安全验证标准
OWASP Enterprise Security API(ESAPI)
OWASP Testing Guide:OWASP 测试指南
OWASP Developer Guide:OWASP 开发指南
风评框架 OWASP 风险评级框架
风险=可能性×影响
WeiyiGeek.风险评级框架
DREAD安全风险评估模型
Common Vulnerability Scoring System(CVSS) 通用漏洞评分系统: https://www.first.org/cvss/calculator/3.0 基础分+环境分+临时分
附录: OWASP官网:http://www.owasp.org 中国区官网:http://www.owasp.org.cn
描述:将按照每年从高到低进行排序并且解释相应的漏洞;
TOP10.未验证的重定向和转发
WeiyiGeek.未验证的重定向与转发
TOP9.使用含有已知漏洞的组件
TOP8.跨站请求伪造(CSRF)
TOP7.功能级访问控制缺失
TOP6.敏感信息泄露
TOP5.安全配置错误
TOP4.不安全的直接对象引用
TOP3.跨站脚本攻击
TOP2.失效的身份认证和会话管理(Weak authentication and session management)
TOP1.注入攻击
总结:ESAPI与OWASP TOP 10
WeiyiGeek.ESAPI
TOP10.不足的日志记录和监控
TOP9.使用含有已知漏洞的组件
TOP8.不安全的发序列化
TOP7.跨站脚本攻击
TOP6.安全配置错误
TOP5.失效的访问控制;
TOP4.外部实体(XXE注入)
TOP3.敏感信息泄露 TOP2.失效的身份认证和会话管理 TOP1.注入
总结2013与2017对比图:
WeiyiGeek.
参考网站: