扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共19页)
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第一部分
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第二部分
锁定:使用修订版OWASP Top Ten保证Web应用程序的安全——第三部分
在这个系列的第一部分,我列举了于2004年建立OWASP Web应用程序脆弱性10大排名。文章发表后不久,我收到OWASP执行总裁Andrew van der Stock的一封电子邮件,向我透露即将修正的排名列表。OWASP计划于2007年3月发布新的脆弱性10大排名。该排名的候选版本1(RC1)已于上周在OWASP的网站上公布。因此我现在对这个系列进行更新,以包含2007年的脆弱性。
2007 OWASP Top 10
2007年和2004年的排名有一些相似之处,如表A所示。未经确认的输入、缓冲区溢出、配置管理不安全和拒绝服务落选。另一方面,认证和会话管理不完善被分解为两个部分。
这个表中的新脆弱性包括(以RC1为依据):
表A
OWASP Top 10 2007 |
OWASP Top 10 2004 |
A1 跨站脚本(XSS) |
A4 跨站脚本(XSS) |
A2 注入错误 |
A6 注入错误 |
A3 远程文件包含不安全(新增) |
-- |
A4 直接对象参考不安全 |
A2 访问控制不完善(在2007 Top10中被分解) |
A5 跨站请求仿造(CSRF)(新增) |
-- |
A6 信息泄露和错误处理不当 |
A7 错误处理不当 |
A7 认证和会话管理不完善 |
A3 认证和会话管理不完善 |
A8 加密存储不安全 |
A8 存储不安全 |
A9 通信不安全 |
在A10后讨论:配置管理不安全 |
A10 无法限制URL访问 |
A2 访问控制不完善(在2007 Top10中被分解) |
-- |
A1 未经确认的输入 |
-- |
A5 缓冲区溢出 |
-- |
A9 拒绝服务 |
-- |
A10 配置管理不安全 |
表A(OWASP,OWASP Top 10 2007 RC1)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者