OWASP Top 10 2010 十大安全隐患

【51CTO.com 独家报道】OWASP大会
刚刚闭幕，相信很多东西还是值得大家回味的。
那么51CTO作为特邀媒体，参加了全程大会，有关OWASP会议详细情况请浏览51CTO OWASP 2010中国峰会专题报道。从会议上，我们了解到了OWASP Top 10 2010的相关概念，这里我们就来简单解析一下。顾名思义，OWASP（开放式web应用程序安全项目）关注web应用程序的安全。OWASP这个项目最有名的，也许就是它的“十大安全隐患列表”。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患，还包括了如何消除这些隐患的建议。（另外，OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程，提高web产品的安全性。）这个“十大”
差不多每隔
三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隐患列表，该链接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增强Web应用程序安全》（一共七篇），对2007年的这个十大有详细的介绍，有兴趣的同学建议去阅读一下。“OWASP Top 10 2010”大概将在2010年第一季度发布，目前处于发布前最后的征询意见(RC, request for comments)的阶段。本文将对“OWASP Top 10 2010”RC版本做一个简要的介绍。以下凡是提到“OWASP Top 10 2010”之处均指其RC版本。和“Top 10 2007”相比，“top 10 2010”有如下主要改动：明确指出，“十大”指的是十大安全隐患(top 10 risks)，而非十大最常见的缺陷或薄弱环节(not top 10 most common weaknesses)。修改了用于评估安全隐患的排名规则，而非仅仅依赖于安全隐患所关联的缺陷的流行程度和范围。这一点会影响
新的“十大”的排名次序。在最新版的“十大”中，用两个新的安全隐患替代两个旧的安全隐患：添加新的第6大安全隐患：错误的安全配置 (Security Misconfiguration)。这曾经是“Top 10 2004”当中的第10大安全隐患，后来因为觉得
这不属于软件问题而从“Top 10 2007”当中移除了。
但是，从应用程序使用、配置方面的安全隐患程度和常见性来讲，足以重新将这条列入十大。添加新的第8大安全隐患： 未经验证的网址重定向 (Unvalidated Redirects and Forwards)。有证据表明有关于此的安全问题已经相当普遍，并且可能造成明显的危害。删除旧的第3大安全隐患： 不安全的远程文件引用和执行 (Malicious File Execution。注：此非意译)。这依然是一个普遍存在的严重的安全问题。不过，它在2007年前后的空前的普遍流行相当程度上
是因为当时很多PHP 程序存在这个安全隐患。目前，PHP的默认设置中已经对此做了更多的安全方面的弥补和限制，使得这个安全隐患不再像过去那么普遍。删除旧的第6大安全隐患： 信息泄露和不恰当的错误处理 (Information Leakage and Improper Error Handling)。这个问题相当流行，不过危害程度一般比较有限。以下是最新的OWASP Top 10 2010 (RC版本，可以从这里下载到官方英文PDF文档，更多官方英文信息可以参考这里)：A1 – 注入 (Injection)A2 – 跨站脚本 (Cross Site Scripting (XSS))A3 – 无效的验证和会话管理 (Broken
Authentication and Session
Management)A4 – 对资源不安全的直接引用 (Insecure Direct Object References)A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))A6 – 错误的安全配置 (Security Misconfiguration) (新加入)A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards) (新加入)A9 – 不安全的密码存储 (Insecure Cryptographic Storage)A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)