移除或不安装不适用的功能和框架。 检查和修复安全配置项来适应最新的安全说明、更新和补丁,并将其作为更新管理过程的一部分,(参见A9:2017-使用含有已知漏洞的组件)。在检查过程中,应特别注意云存储权限(如:S3桶权限)。 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包括:分段、容器化和云安全...
“在过去的四年里,技术与应用正在加速变化,OWASP Top 10的排名也需要随之改变。因此,我们完全重构了OWASP Top 10的修改方法,利用一种新的数据调用流程,并与技术社区合作,对十大安全风险重新进行排列,并添加现在经常引用的框架和语言。”不知大家是否还记得,在今年4月份OWASP公布的2017 OWASP Top10第一波候选...
我们也注意到,自从CSRF被引入2007版的top10项目以来,它已经从广泛的脆弱性下降到不常见的脆弱性。许多框架包括自动的CSRF防御,这大大促进了普遍性的下降,以及开发人员对于防范这种攻击的意识提高。关于这个OWASPtop10–2017候选发布版的建设性意见可以通过电子邮件发送到OWASP-TopTen@lists.owasp。私人评论可以发送到dave...
XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话,破坏网站或将用户重定向到恶意网站。 A8:2017-不安全的反序列化(新增) 不安全的反序列化通常导致远程代码执行。即使反序列化瑕疵不会导致远程代码执行,也可以用来执行攻击,包括重播攻击,注入攻击和特权升级攻击。 A9:2017-使用含有已知漏洞的组件 ...
A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。
A7:2017跨站脚本(XSS) 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
本文使用的是OWASP TOP 10的2017年标准。 关于OWASP-TOP10的介绍:https://www.safedog.cn/news/5092.html [严重程度TOP1] 注入 注入漏洞在当今的应用中非常普遍,之所以出现这些漏洞 是因为web应用程序会将用户所控制的输入数据解释为实际的命令或参数;注入攻击取决于当前web应用程序正在使用的技术以及这些技术会如何...
既然是RC2(Release Candidate 2),那就不是正式版,是报批稿或候选稿。2017年4月,RC1发布以来收到了大量的批评意见,进而引发了本项目负责人更换,组织重新评估“OWASP Top 10”的定义、方法论、收集和分析的数据。 正式版本的OWASP Top 10 2017将于11月下旬发布。在正式版本发布前,有关本版本《OWASP Top 10》文档...
近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。
近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。