数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学什么是开放式Web应用程序安全项目 (OWASP)?
开放式Web应用程序安全项目 (OWASP) 是一家致力于增强软件安全的非营利组织。OWASP 基于“开放社区”的方法,允许任何人参与并贡献项目、活动、在线对话和其他活动。
OWASP 的指导理念是其网站上的所有资源和信息都免费且可供任何人自由访问。OWASP 提供各种工具、视频、论坛、倡议和活动等。简而言之,OWASP 是涵盖所有 Web 应用程序安全的一站式资源,由其开放社区贡献者的集体智慧和专业知识支持。它最出名的是其 OWASP Top 10 项目。
OWASP Top 10
OWASP Top 10 是一份经常更新的报告,概述了 Web 应用程序安全漏洞,重点关注十大最重要威胁。来自世界各地的安全专家小组编制了这份报告。OWASP 将 Top 10 称为“意识文档”,建议所有企业将该报告纳入其流程中,以避免和/或减轻安全风险。
OWASP Top 10 是一项研究工作,对十大最危险的 Web 应用程序安全威胁进行排名,并提供修复建议。这项研究基于全球安全专家达成的共识。这些风险根据漏洞的严重性、隔离的安全漏洞的频率以及其潜在后果的严重程度进行分类。
这项研究的目标是让 Web 应用程序安全专业人员和开发人员更好地了解最常见的安全问题,以便他们可以将其结果纳入其安全流程中。这有助于限制其在线应用程序中已知风险的存在。
它上次更新于 2017 年,概述了十大互联网安全问题。
SQL 注入 - 未经信任的数据被解析并注入查询(例如 SQL、OS、NoSQL 或 LDAP),从而导致执行不需要的指令或未经授权访问信息。
身份验证失效 - 当用户身份验证和管理处理不当时,攻击者可以访问密钥、密码、会话令牌或滥用系统以假冒其他用户身份。
敏感数据泄露 - 未保护用户敏感数据的 Web API 可能会泄露财务、医疗保健、个人身份信息 (PII) 或其他敏感数据。由于数据泄露可能导致身份盗窃、信用卡欺诈和其他犯罪,因此这些信息应格外小心。
XML 中的外部实体 (XXE) - 攻击者可以利用使用不安全组件处理 XML 的 Web 应用程序。攻击者可以上传 XML 或在 XML 文档中插入恶意指令或材料。
访问控制不足 - 当攻击者能够访问用户帐户时,这被称为访问控制失效。攻击者可以以用户或管理员身份访问系统。
安全配置错误 - 安全配置错误是由于配置错误或缺乏导致设计或配置缺陷。例如,默认帐户及其原始密码仍然启用,使系统容易受到攻击。
跨站点脚本 (XSS) - 当新网页上的不受信任的数据未正确验证或转义时,攻击者可以使用 XSS 劫持用户的会话,执行不需要的站点活动或通过在用户的浏览器中执行脚本来重定向到恶意站点。
不安全的反序列化 - API 反序列化中的缺陷可能导致远程代码执行、重放攻击、权限提升攻击和注入攻击。
使用具有已知漏洞的组件 - 由于应用程序组件具有与程序本身相同的访问级别,因此如果利用了组件的漏洞,则应用程序抵御攻击的防御能力可能会受到影响。
日志记录和监控不足 - 日志记录和监控是应该定期在网站上执行的两项任务,以确保其安全。如果网站未正确记录和监控,则它将更容易受到更严重的破坏行为的影响。
OWASP 项目
所有 OWASP 项目、工具、出版物、章节和论坛都是开源且由社区驱动的,允许用户测试理论或想法,同时从 OWASP 社区获得专家指导和帮助。尽管它们是由社区驱动和关注的,但它们坚定地支持商业安全技术,帮助企业设计和实施安全计划,并鼓励积极主动的安全策略。由于这种社区视角,安全方向可能会考虑所有利益相关者。它有助于组织具有竞争力和可信度,使开发人员对其工作更有信心,并通过提供处理个人信息的技术来保护最终用户的数据。
OWASP Wiki
OWASP 的主要任务之一是教育 Web 开发人员、架构师、经理、设计师和组织了解 Web 安全的必要性以及未能做到这一点的后果。OWASP wiki 拥有超过二十年的研究支持,并由世界一流的安全专业人员赞助。OWASP 伦理黑客已从数百个组织和数千个应用程序中收集漏洞,以便共享威胁、漏洞和对策信息。
OWASP 提供各种故意存在缺陷的示例应用程序,以教开发人员如何避免他人的错误。OWASP 将协助您的组织进行风险缓解、威胁建模和架构威胁分析,因此它是建立网络和与之建立关系的宝贵资源。
采用各种 OWASP 指南
将 OWASP 合规性作为软件开发流程和风险管理策略的一部分,将提升贵公司的声誉。OWASP 为代码审查指南和框架建立了行业标准,这些指南和框架为开发人员提供了渗透测试最佳实践的文档。它还方便开发人员创建自己的渗透测试指南并在其自身环境中评估风险。
通过遵守这些 OWASP 原则并鼓励开发人员更加重视安全,您的公司将能够更好地管理漏洞并提高应用程序的整体质量。
880 次查看
