使用OWASP Top Ten保证Web应用程序安全（一）

随着Web应用程序数量的增加，其带来的脆弱性也同时增长。没有遵照正确的编码指导可能会使一个组织、它的员工和客户程序暴露在恶意攻击之下。

我将在一系列文章中探讨开放Web应用程序安全计划（OWASP）十大排各（Top Ten）以及处理得到确定的脆弱性的OWASP建议如何能够与你的软件开发生命周期整合问题。本文是其中第一篇。

商业风险

由于组织贸然通过基于浏览器的用户界面提供信息访问——由于他们增加了应用程序和Web服务的整合次数——商业风险不断上升。并不是开发者不关心编写优良代码；相反，正是由于这些代码不断向外界——互联网——开放，这个问题才日渐严重。OWASP表示：

“当一个组织推出一个Web应用程序时，它们邀请全世界向它们发送HTTP请求。一些攻击在这些请求的掩护下，悄悄地穿过防火墙、过滤器、平台强化和入侵检测系统。这表示你的Web应用程序成为你的安全边界的一部分。随着Web应用程序的数量、规模和复杂程序的增加，边界暴露的程序也随之增加。”（《十个最重要的Web应用程序安全脆弱性》，2004年1月27日）。

今天组织开发的许多（如果不是大多数）新应用程序为Web应用程序。另外，组织还不断配置Web服务来执行系统内整合。第三方应用程序提供的新型解决方案往往要求使用基于浏览器的前台。问题在于，开发者安全培训和意识的步伐可能很难赶上Web应用程序和服务的发展速度。

由于潜在的Web应用程序安全问题日益增多，OWASP提出了一个最重要的Web应用程序安全脆弱性十大排名列表。Top Ten列表联合许多服务提供商和终端用户组织共同制定，其中包括确保这些脆弱性不会进入生产系统的建议。

在保护客户信息方面，OWASP Top Ten还成为组织决定是否实施尽职调查的指导原则。例如，在2003年6月的《商业事实》文件中，美国联邦贸易委员会（FTC）使用这个列表为参考；同年，FTC在指控Guess Incorporated公司没有为保护客户数据提供足够的信息安全一案中也以OWASP Top Ten作为参考。最近，BJ's Wholesale Club又成为FTC基于这个列表的行动对象。