近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。与此同时,榜单中还出现了一些新的安全威胁,包括 XXE ...
近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。 与此同时,榜单中还出现了一些新的安全威胁,包括 XXE 漏洞...
如果大家对这个提案有什么意见,都可以通过邮件向OWASP-TopTen(at)lists.owasp.org或者dave.wichers(at)owasp.org(私人评论)提交,时间截止至6月30日。2017 OWASP Top10最终版本将于7月或8月公布。FreeBuf也将继续跟进这一列表的后续动态。
移除或不安装不适用的功能和框架。 检查和修复安全配置项来适应最新的安全说明、更新和补丁,并将其作为更新管理过程的一部分,(参见A9:2017-使用含有已知漏洞的组件)。在检查过程中,应特别注意云存储权限(如:S3桶权限)。 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包括:分段、容器化和云安全...
OWASPTop10201710项最严重的Web应用程序安全风险本文档的发布基于《CreativeCommonsAttribution-ShareAlike4.0InternationalLicense》https://owasphttp://.owasp1版权和许可2003-2017OWASP基金会©版权所有本文档的发布基于《CreativeCommonsAttributionShare-Alike4.0license》。任何重复使用或发行,都必须向他人澄清该文档的许可...
近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。
本文使用的是OWASP TOP 10的2017年标准。 关于OWASP-TOP10的介绍:https://www.safedog.cn/news/5092.html [严重程度TOP1] 注入 注入漏洞在当今的应用中非常普遍,之所以出现这些漏洞 是因为web应用程序会将用户所控制的输入数据解释为实际的命令或参数;注入攻击取决于当前web应用程序正在使用的技术以及这些技术会如何...
2017 OWASP Top10威胁解读(*同前几年一样,排名是根据用户意见和公开讨论编写的) A1:2017-Injection(注入漏洞) 当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻击者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问...
我们也注意到,自从CSRF被引入2007版的top10项目以来,它已经从广泛的脆弱性下降到不常见的脆弱性。许多框架包括自动的CSRF防御,这大大促进了普遍性的下降,以及开发人员对于防范这种攻击的意识提高。关于这个OWASPtop10–2017候选发布版的建设性意见可以通过电子邮件发送到OWASP-TopTen@lists.owasp。私人评论可以发送到dave...
OWASP公布2017年十大安全风险排名 [ ] 【IT168 资讯】日前,非营利性组织开放式Web应用安全项目(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来对十大安全风险排名的首次更新。 “在过去的四年里,技术与应用正在加速变化,OWASP Top 10的排名也需要随之改变。因此,我们完全重构了OWASP Top 10...