科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道应用软件锁定:使用OWASP Top Ten保证Web应用程序的安全——第一部分

锁定:使用OWASP Top Ten保证Web应用程序的安全——第一部分

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2007年和2004年的OWASP排名有一些相似之处,如表A所示。未经确认的输入、缓冲区溢出、配置管理不安全和拒绝服务落选。另一方面,认证和会话管理不完善被分解为两个部分。

作者:builder.com.cn 2007年3月7日

关键字: 安全 OWASP 脆弱性 webtrend

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共19页)

锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第一部分

锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第二部分

锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第三部分

在这个系列的第一部分,我列举了于2004年建立OWASP Web应用程序脆弱性10大排名。文章发表后不久,我收到OWASP执行总裁Andrew van der Stock的一封电子邮件,向我透露即将修正的排名列表。OWASP计划于2007年3月发布新的脆弱性10大排名。该排名的候选版本1(RC1)已于上周在OWASP的网站上公布。因此我现在对这个系列进行更新,以包含2007年的脆弱性。

2007 OWASP Top 10

2007年和2004年的排名有一些相似之处,如A所示。未经确认的输入、缓冲区溢出、配置管理不安全和拒绝服务落选。另一方面,认证和会话管理不完善被分解为两个部分。

这个表中的新脆弱性包括(以RC1为依据):

  • A3.远程文件包含不安全:易于受到远程文件包含攻击的代码允许攻击者加入敌意代码和数据,形成极具破坏性的攻击,如整个服务器泄露。
  • A5.跨站请求仿造(CSRF:CSRF攻击迫使一个已登录的受害者的浏览器向一个易受攻击的Web应用程序发送一个提前认证的请求,然后强迫受害者的浏览器执行有利于攻击者的敌意行为。
  • A9.通信不安全:有必要保护敏感信息时,应用程序经常无法加密网络流量。

表A

OWASP Top 10 2007

OWASP Top 10 2004

A1 跨站脚本(XSS)

A4 跨站脚本(XSS)

A2 注入错误

A6 注入错误

A3 远程文件包含不安全(新增)

--

A4 直接对象参考不安全

A2 访问控制不完善(在2007 Top10中被分解)

A5 跨站请求仿造(CSRF)(新增)

--

A6 信息泄露和错误处理不当

A7 错误处理不当

A7 认证和会话管理不完善

A3 认证和会话管理不完善

A8 加密存储不安全

A8 存储不安全

A9 通信不安全

在A10后讨论:配置管理不安全

A10 无法限制URL访问

A2 访问控制不完善(在2007 Top10中被分解)

--

A1 未经确认的输入

--

A5 缓冲区溢出

--

A9 拒绝服务

--

A10 配置管理不安全

表A(OWASP,OWASP Top 10 2007 RC1)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章