中国领先的IT技术网站
|
|

2017 Web 开发安全风险 TOP10,看看中枪了没?

Open Web Application Security Project (OWASP)每隔3-4年会公布一次 “Web 开发安全问题 TOP10 ” ,通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。

作者:佚名来源:开源中国|2017-10-31 10:28

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


Open Web Application Security Project (OWASP)每隔3-4年会公布一次 “Web 开发安全问题 TOP10 ” ,通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。OWASP Top 10 被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC 等等。OWASP Top 10 最初于2003 年发布,并于 2004 年和 2007 年相继做了少许的修改更新。2010 版在流行程度的基础上,还对风险进行排序。这种模式也在 2013 版和最新的 2017 版得到了延续。

上一版 OWASP TOP10 发布于2013年,距今已有四年,全新的 OWASP Top10 将于今年发布。TOP10 2017 已于今年年中开始编制并发布 RC1 版,但因其中两条内容遭社区投票反对,重新开启征集,并在10月发布了其 RC2 版本。目前在做最终的意见收集,若无意外,正式版会在11月18日发布。

正如图中所示,2017 的问题和 2013 变化并不大。如果往更早的 2007 榜单翻,你甚至会发现仍然有4个相同的问题出现在榜单之上。这似乎在说明,Web 开发者其实是在一次又一次犯同样的错误?新的工具,新的开发模式的出现,并没有完全改变这一状况。甚至有一些人猜测和评论,犯同样错误的开发者并不是同一群开发者,而是因为 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。

OWASP TOP10 2017 RC2 包含内容如下:

  • A1 - 注入缺陷

  • A2 - 失效的身份认证和会话管理

  • A3 - 敏感数据泄露

  • A4 - XML 外部实体注入(XXE)

  • A5 -  无效的访问控制(合并于 2013 年的 A4 “不安全的直接对象引用”和 A7 “功能级访问控制功能缺失”)

  • A6 - 安全配置错误

  • A7 - 跨站脚本(XSS)

  • A8 - 不安全的反序列化

  • A9 - 使用含有已知漏洞的组件

  • A10 - 记录和监控不足

【编辑推荐】

  1. 外媒速递:2017年方兴未艾的11种Web编程发展趋势
  2. iWeb峰会•北京站超燃开幕,打破边界共聚共享
  3. 外媒速递:20项Web编程提示助你快速提升技术水平
  4. Web 开发者需要知道的 12 个终端命令
  5. 外媒速递:这些工具你用过没?20款选项加持Web设计与开发
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

读 书 +更多

3D游戏开发大全(高级篇)

在我的第一本书——《3D游戏开发大全》中,我们曾经对3D游戏开发完成了一次犹如探索原始丛林般的旅程:首先,我们对3D游戏产业进行了初步了...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)