OWASP Top 10 2010 十大安全隐患

【51CTO.com 独家报道】OWASP大会
刚刚闭幕,相信很多东西还是值得大家回味的。
那么51CTO作为特邀媒体,参加了全程大会,有关OWASP会议详细情况请浏览51CTO OWASP 2010中国峰会专题报道。从会议上,我们了解到了OWASP Top 10 2010的相关概念,这里我们就来简单解析一下。顾名思义,OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的“十大安全隐患列表”。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高web产品的安全性。)这个“十大”
差不多每隔
三年更新一次,目前的最新版是《Top 10 2007》(2007年十大web安全隐患列表,该链接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增强Web应用程序安全》(一共七篇),对2007年的这个十大有详细的介绍,有兴趣的同学建议去阅读一下。“OWASP Top 10 2010”大概将在2010年第一季度发布,目前处于发布前最后的征询意见(RC, request for comments)的阶段。本文将对“OWASP Top 10 2010”RC版本做一个简要的介绍。以下凡是提到“OWASP Top 10 2010”之处均指其RC版本。和“Top 10 2007”相比,“top 10 2010”有如下主要改动:明确指出,“十大”指的是十大安全隐患(top 10 risks),而非十大最常见的缺陷或薄弱环节(not top 10 most common weaknesses)。修改了用于评估安全隐患的排名规则,而非仅仅依赖于安全隐患所关联的缺陷的流行程度和范围。这一点会影响
新的“十大”的排名次序。在最新版的“十大”中,用两个新的安全隐患替代两个旧的安全隐患:添加新的第6大安全隐患:错误的安全配置 (Security Misconfiguration)。这曾经是“Top 10 2004”当中的第10大安全隐患,后来因为觉得
这不属于软件问题而从“Top 10 2007”当中移除了。
但是,从应用程序使用、配置方面的安全隐患程度和常见性来讲,足以重新将这条列入十大。添加新的第8大安全隐患: 未经验证的网址重定向 (Unvalidated Redirects and Forwards)。有证据表明有关于此的安全问题已经相当普遍,并且可能造成明显的危害。删除旧的第3大安全隐患: 不安全的远程文件引用和执行 (Malicious File Execution。注:此非意译)。这依然是一个普遍存在的严重的安全问题。不过,它在2007年前后的空前的普遍流行相当程度上
是因为当时很多PHP 程序存在这个安全隐患。目前,PHP的默认设置中已经对此做了更多的安全方面的弥补和限制,使得这个安全隐患不再像过去那么普遍。删除旧的第6大安全隐患: 信息泄露和不恰当的错误处理 (Information Leakage and Improper Error Handling)。这个问题相当流行,不过危害程度一般比较有限。以下是最新的OWASP Top 10 2010 (RC版本,可以从这里下载到官方英文PDF文档,更多官方英文信息可以参考这里):A1 – 注入 (Injection)A2 – 跨站脚本 (Cross Site Scripting (XSS))A3 – 无效的验证和会话管理 (Broken
Authentication and Session
Management)A4 – 对资源不安全的直接引用 (Insecure Direct Object References)A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))A6 – 错误的安全配置 (Security Misconfiguration) (新加入)A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards) (新加入)A9 – 不安全的密码存储 (Insecure Cryptographic Storage)A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)

时间: 2024-10-22 01:08:41

OWASP Top 10 2010 十大安全隐患的相关文章

“2010十大海外、中国最佳旅游目的地”揭晓

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;        日前,由 携程旅行网和<携程自由行>杂志联合主办.驴妈妈旅游网协办的"TOP10 2010十大海外最佳 旅游目的地及十大中国最佳旅游目的地"评选结果正式揭晓.法国巴黎.瑞士阿尔卑斯少女峰.荷兰阿姆斯特丹等入选"2010 十大海外最佳旅游目的地":北京.香港.三亚.成都等入选"2010十大中国

美网站列举谷歌2010十大新闻

导语:美国IT网站CRN今天撰文,列举了谷歌2010年的十大新闻. 以下为文章概要: 1.Android崛起 Android在2010年取得了长足的进步.谷歌对这款2008年面市的移动操作系统进行了改进,并在2010年引发了巨大反响.Android手机的出货量获得了大幅增长.美国市场研究公司Gartner的最新数据显示,谷歌Android占据全球智能手机操作系统25.5%的份额,仅次于诺基亚Symbian,但领先于苹果. 2.与微软云中对战 谷歌今年花了大量时间与微软争夺云计算领域的领导地位.这

微软2010十大新闻:Windows7、KIN手机喜忧参半

中介交易 SEO诊断 淘宝客 云主机 技术大厅 [赛迪网讯]12月22日消息,据国外媒体报道,IT业巨头微软公司(Microsoft)在2010年表现不俗,几乎美国每个家庭至少购买了一件微软产品.从智能手机,游戏机,娱乐软件,云计算服务基础设施,一直到搜索引擎服务的扩张,微软产品逐渐渗透进了每个人的生活.以下是微软公司2010年度十大新闻 发布Windows Phone 7 微软今年发布了Windows Phone 7智能手机操作系统,计划与苹果iPhone和谷歌Android手机一拼高下.然而

2010十大互联网彪悍语:给力和我爸是李刚上榜

打前几年开始,网络热字.热词就层出不穷,不过今年的网络语言格外长脸,不但登上了<人民日报>头版头条,更越洋过海成为CNN美国有线电视新闻网和<纽约时报>的焦点,就连老外都开始费尽心机翻译这些中英字典上绝找不到的词句.不过外人并不能体味中国网民的心情,在他们的眼里,互联网似乎缺少了一点中庸和理性,更多地存在着偏执和狂热,很多情况下甚至沦为人们发泄的渠道,实现自我中心的释放和救赎.为了暂时摆脱这个世界,欢喜抑或痛苦,于是诞生了下面这些 "2010互联网十大彪悍语".

“物价上涨”入百度2010十大话题

昨日,百度发布了2010年度搜索风云榜,"住房难.物价上涨.低碳生活"等进入年度十大公众话题榜单.百度每天有超过30亿次的搜索请求,百度搜索风云榜则基于中国网民2010年在百度的搜索行为为依托,不设专家评委,不进行线上投票,完全靠网民使用百度搜索时的关键词检索量统计而来.图为工作人员正在布置发布会场地. 本报记者 周晓东 阳淼 摄影报道

IT市场10年十大事件

美国著名IT类门户CNET网站本周评出了IT市场10年来10大事件,惠普收购康柏.盖茨退休,以及苹果推iPhone手机等纷纷上榜.榜单上最热门的企业当属Google,苹果.微软次之.十大事件中也以互联网行业为主,也代表近十年来,IT行业从以个人电脑为中心向以互联网为中心的转变.(小村) 以下为CNET评出的IT市场10年来10大事件: 1.谷歌推出Adwords广告服务 2.苹果推出iTunes音乐商店 3.微软与美国司法部和解 4.2000年互联网泡沫破灭 5.苹果推出iPhone手机 6.雅

Foxmail十大安全隐患解决方法

作为最有名的国产电子邮件客户端软件,Foxmail因其设计优秀.体贴用户.使用方便,提供全面而强大的邮件处理功能,以及很高的运行效率等特点,赢得了广大用户的青睐,使用Foxmail的用户非常多.与微软的Outlook Express一样,Foxmail也存在着许多安全隐患! 一.Foxmial帐号转换漏洞解决办法 在Foxmail中可以为不同的使用者建立不同的账户,每个帐户可以拥有自己的口令,来保护自己的信箱.但是,这个口令保护并不安全,用下面的方法可以可以轻松绕过口令保护,进入别人的信箱. 首

Web十大安全隐患之XSS跨站脚本

上次提到的是sql注入,算是较大的安全隐患,今天我们来介绍另外一种较为严重的安全隐患--XSS跨站脚本攻击. 首先咱们来说什么是跨站脚本攻击.它的英文叫"CrossSite Scripting",通俗点说就是攻击者向web页面里跨站的插入恶意html代码,那么当用户浏览该页的时候,嵌入到web中的html代码就会被执行.我们经常看到的重定向啊,以及一些钓鱼网站,大多数利用的就是这种技术.比如有个广告,里边网址是item.taobao.com/.xxxx的,是某个人在某论坛发的广告链接,

2010十大电影

阿凡达在新年之初就点起了好莱坞大片的战火,有理由期待2010年的大屏幕会更加精彩 英文:Avatar 译名:阿凡达 导演:詹姆斯•卡梅隆 James Cameron 主演:萨姆•沃辛顿Sam Worthington 佐伊•索尔达娜 Zoe Saldana 西格妮•韦弗 Sigourney Weaver 目前正在全球火爆上映,这部有史以来最昂贵的电影都将让所有观者终身难忘,也有望创造历史上最辉煌的票房成绩. [page] 英文:Iron Man 2 译名:钢铁侠2 导演:乔恩•费儒(Jon Fav