开放网络应用安全项目(OWASP)最近更新了4年后对网络应用最严重的10大安全风险。这是自年推出该名单以来改动最大的一次,这些变化无疑将对未来企业如何处理应用程序安全性产生重大影响。本文将带领大家梳理这些OWASPTOP10LIST的新变化,以及介绍一种企业应对这些潜在安全风险的最佳实践。
OWASPTOP10LIST是什么?
开放网络应用安全项目(OWASP)是一个致力于提高软件安全性的非营利性基金会。它基于“开放社区”模式运作,这意味着任何人都可以参与在线聊天、贡献OWASP的相关项目等活动。
从在线工具、视频到论坛、活动,OWASP提供的服务一直是免费的,并且通过其网站可以轻松访问与参与。
OWASPTOP10LIST提供了十大最关键的网络应用程序安全风险的排名和补救指南。基于OWASP开放社区贡献者的广泛知识和经验,该报告采纳了来自世界各地的安全专家的共识。十大风险等级根据发现的安全缺陷的频率、发现的漏洞的严重程度及其潜在影响的大小进行排序。
该LIST的目的是让开发人员和网络应用程序安全人员深入了解最常见的安全风险,以便他们能够将报告的结果和建议纳入自己的安全实践中,从而尽量减少其应用程序中已知的风险。
为什么OWASPTOP10LIST很重要
自年以来,OWASP一直在持续发布着它的TOP10LIST,而且每两到三年会根据AppSec市场的进步和变化更新一次。该列表的重要性在于它提供的信息完备且可操作性强,可以作为世界上许多大型组织的checklist和内部Web应用程序开发标准。
同时安全领域的从业人士往往会默认这样一个事实,如果某个企业未能解决OWASPTOP10LIST上的问题,就表明该组织可能也达不到其他安全合规标准。相反,如果企业能将Top10LIST解决方案集成至软件开发生命周期(SDLC)中,这将成为企业对安全开发最佳实践做出的最基础的承诺。
OWASPTOP10LIST有什么新变化?
对于年的LIST,OWASP增加了三个新的类别,对命名和范围作了四处修改,并进行了一些整合。
1.中断访问控制(A01:):此前排名第5的中断访问控制问题(这个弱点允许攻击者访问用户账户)在年上升到了第1位。此上下文中的攻击者可以充当系统中的用户或管理员。
示例:应用程序允许更改主键,当此键更改为另一个用户的记录时,可以查看或修改该用户的账户。
2.加密失败(A02:):此前位于第3位,以前称为敏感数据暴露,此条目被重命名为加密失败,以准确地描述其根本原因,而不是表现形式。当重要的存储或传输数据被破坏时,就会发生加密失败。
示例:金融机构未能充分保护其敏感数据,因而很容易成为信用卡欺诈和身份盗窃的目标。
3.注入(A03:):注入从第一位下降到第三位,跨网站脚本现在被认为是这个类别的一部分。从本质上讲,当攻击者将无效数据发送到Web应用程序中,以使应用程序执行其设计不允许的操作时,就会发生代码注入。
示例:应用程序在构造易受攻击的SQL调用时使用不受信任的数据。
4.不安全设计(A04:):不安全设计是年的一个新类别,其主要