扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共19页)
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第一部分
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第二部分
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第三部分
在这个系列的第一部分,我列举了于2004年建立OWASP Web应用程序脆弱性10大排名。文章发表后不久,我收到OWASP执行总裁Andrew van der Stock的一封电子邮件,向我透露即将修正的排名列表。OWASP计划于2007年3月发布新的脆弱性10大排名。该排名的候选版本1(RC1)已于上周在OWASP的网站上公布。因此我现在对这个系列进行更新,以包含2007年的脆弱性。
2007 OWASP Top 10
2007年和2004年的排名有一些相似之处,如表A所示。未经确认的输入、缓冲区溢出、配置管理不安全和拒绝服务落选。另一方面,认证和会话管理不完善被分解为两个部分。
这个表中的新脆弱性包括(以RC1为依据):
表A
|
OWASP Top 10 2007 |
OWASP Top 10 2004 |
|
A1 跨站脚本(XSS) |
A4 跨站脚本(XSS) |
|
A2 注入错误 |
A6 注入错误 |
|
A3 远程文件包含不安全(新增) |
-- |
|
A4 直接对象参考不安全 |
A2 访问控制不完善(在2007 Top10中被分解) |
|
A5 跨站请求仿造(CSRF)(新增) |
-- |
|
A6 信息泄露和错误处理不当 |
A7 错误处理不当 |
|
A7 认证和会话管理不完善 |
A3 认证和会话管理不完善 |
|
A8 加密存储不安全 |
A8 存储不安全 |
|
A9 通信不安全 |
在A10后讨论:配置管理不安全 |
|
A10 无法限制URL访问 |
A2 访问控制不完善(在2007 Top10中被分解) |
|
-- |
A1 未经确认的输入 |
|
-- |
A5 缓冲区溢出 |
|
-- |
A9 拒绝服务 |
|
-- |
A10 配置管理不安全 |
表A(OWASP,OWASP Top 10 2007 RC1)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号