E安全4月13日讯 开放式Web应用程序安全项目(OWASP)是一个专注于讨论应用程序,代码开发的威胁讨论的组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息,以协助个人、企业和机构来发现和使用可信赖软件。
OWASP Top10项目成员包括全球的安全专家,其目标是通过找出企业组织所面临的最严重的十大风险来提高人们对应用程序安全的关注。因此OWASP Top 10代表了对最关键Web应用安全漏洞的广泛共识。
OWASP项目组敦促所有企业在组织机构内部参考OWASP Top10项目的内容,并确保Web应用不包含这些漏洞。采用OWASP Top 10也许能帮助企业向营造开发安全代码文化迈出最具成效的第一步。TOP10中罗列的是十大最有可能发生的应用漏洞,而不是具体某一种攻击行为,是国际非常权威的关于web应用安全的统计参考数据,了解它们可以帮助企业更好地去规避Web应用安全风险。
OWASP发布了“2017 OWASP Top 10”的首个候选版本,其新颖之处在于出现了两个新分类:
一、攻击检测和预防不足
二、API无保护
相比2013年的10大安全风险,2017年发生了一些变化,如图:
对于新分类,OWASP指出:
攻击保护不足:绝大多数应用程序和API缺乏检测、防护和响应手段以及自动化攻击的基本能力。攻击保护远远超出了基本的输入验证,还涉及到自动检测、记录日志、响应、甚至阻止利用企图。应用程序的开发者还需要快速部署补丁,以防范攻击。
API无保护:现代应用程序通常包含客户端应用程序和API,例如浏览器和移动应用(连接到某类API,如SOAP/XML、REST/JSON、RPC、GWT等)中的JavaScript。这些API通常不受保护,且包含众多漏洞。
截至6月30日,安全专家、开发人员和用户可以通过电子邮件将2017 OWASP Top 10评论提交至:
OWASP-TopTen@lists.owasp.org(公开);
dave.wichers@owasp.org(私人)。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论