OWASPTop102010十大安全隐患

【.com 独家报道】OWASP大会刚刚闭幕，相信很多东西还是值得大家回味的。那么作为特邀媒体，参加了全程大会，有关OWASP会议详细情况请浏览 OWASP 2010中国峰会专题报道。从会议上，我们了解到了OWASP Top 10 2010的相关概念，这里我们就来简单解析一下。

临高网站建设公司创新互联建站,临高网站设计制作，有大型网站制作公司丰富经验。已为临高1000+提供企业网站建设服务。企业网站搭建\外贸网站建设要多少钱，请找那个售后服务好的临高做网站的公司定做！

顾名思义，OWASP（开放式web应用程序安全项目）关注web应用程序的安全。OWASP这个项目最有名的，也许就是它的“十大安全隐患列表”。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患，还包括了如何消除这些隐患的建议。（另外，OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程，提高web产品的安全性。）这个“十大”差不多每隔三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隐患列表，该链接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增强Web应用程序安全》（一共七篇），对2007年的这个十大有详细的介绍，有兴趣的同学建议去阅读一下。

“OWASP Top 10 2010”大概将在2010年第一季度发布，目前处于发布前最后的征询意见(RC, request for comments)的阶段。本文将对“OWASP Top 10 2010”RC版本做一个简要的介绍。以下凡是提到“OWASP Top 10 2010”之处均指其RC版本。

和“Top 10 2007”相比，“top 10 2010”有如下主要改动：

明确指出，“十大”指的是十大安全隐患(top 10 risks)，而非十大最常见的缺陷或薄弱环节(not top 10 most common weaknesses)。

修改了用于评估安全隐患的排名规则，而非仅仅依赖于安全隐患所关联的缺陷的流行程度和范围。这一点会影响新的“十大”的排名次序。

在最新版的“十大”中，用两个新的安全隐患替代两个旧的安全隐患：

添加新的第6大安全隐患：错误的安全配置 (Security Misconfiguration)。这曾经是“Top 10 2004”当中的第10大安全隐患，后来因为觉得这不属于软件问题而从“Top 10 2007”当中移除了。但是，从应用程序使用、配置方面的安全隐患程度和常见性来讲，足以重新将这条列入十大。

添加新的第8大安全隐患： 未经验证的网址重定向 (Unvalidated Redirects and Forwards)。有证据表明有关于此的安全问题已经相当普遍，并且可能造成明显的危害。

删除旧的第3大安全隐患： 不安全的远程文件引用和执行 (Malicious File Execution。注：此非意译)。这依然是一个普遍存在的严重的安全问题。不过，它在2007年前后的空前的普遍流行相当程度上是因为当时很多PHP 程序存在这个安全隐患。目前，PHP的默认设置中已经对此做了更多的安全方面的弥补和限制，使得这个安全隐患不再像过去那么普遍。

删除旧的第6大安全隐患： 信息泄露和不恰当的错误处理 (Information Leakage and Improper Error Handling)。这个问题相当流行，不过危害程度一般比较有限。

以下是最新的OWASP Top 10 2010 (RC版本，可以从这里下载到官方英文PDF文档，更多官方英文信息可以参考这里)：

A1 – 注入 (Injection)

A2 – 跨站脚本 (Cross Site Scripting (XSS))

A3 – 无效的验证和会话管理 (Broken Authentication and Session Management)

A4 – 对资源不安全的直接引用 (Insecure Direct Object References)

A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))

A6 – 错误的安全配置 (Security Misconfiguration) (新加入)

A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)

A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards) (新加入)

A9 – 不安全的密码存储 (Insecure Cryptographic Storage)

A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)

【编辑推荐】

1. OWASP 2010中国峰会 现场演讲嘉宾介绍
2. OWASP 2010中国峰会现场图文集锦
3. OWASP召开年度Web安全盛会 解读应用安全趋势发展
4. OWASP 2010中国峰会专题报道 

当前标题：OWASPTop102010十大安全隐患
链接地址：http://www.shufengxianlan.com/qtweb/news14/54364.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联