一、OWASP介绍
OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。
作为一个501c3非盈利的全球性安全组织,致力于应用软件的安全研究。使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
二、OWASP TOP10
1、版本
版本 |
OWASP TOP 10 2013 |
OWASP TOP 10 2017 |
OWASP TOP 10 2021 |
A1 |
Injection 注入攻击 |
Injection 注入攻击 |
Broken Access Control 失效的访问控制 |
A2 |
Broken Authentication and Session Management 失效的验证与连接管理 |
Broken Authentication 失效的身份认证 |
Sensitive Data Exposure 敏感数据泄露 |
A3 |
Cross-Site Scripting,XSS 跨站脚本攻击 |
Sensitive Data Exposure 敏感数据泄露 |
Injection 注入攻击 |
A4 |
Insecure Direct Object References 不安全的直接对象引用 |
XML External Entities,XXE XML外部处理器漏洞 |
Insecure Design 不安全设计 |
A5 |
Security Misconfiguration 安全配置错误 |
Broken Access Control 失效的访问控制 |
Security Misconfiguration 安全配置错误 |
A6 |
Sensitive Data Exposure 敏感数据泄露 |
Security Misconfiguration 安全配置错误 |
Vulnerable and Outdated Component 脆弱过时组件 |
A7 |
Missiojn Function Level Access Control 缺少功能级别的访问控制 |
Cross-Site Scripting,XSS 跨站脚本攻击 |
Identification and Authentication Failure 识别与认证失败 |
A8 |
Cross-Site Request Forgery (CSRF) 跨站请求伪造 |
Insecure Deserialization 不安全的反序列化漏洞 |
Software and Data Integrity Failure 软件和数据完整性故障 |
A9 |
Using Components with Known Vulnerabilities 使用含有已知漏洞的组件 |
Using Components with Known Vulnerabilities 使用含有已知漏洞的组件 |
Security Logging and Monitoring Failure 安全日志与监测失败 |
A10 |
Unvalidated Redirects and Forwards 未验证的重定向与转发 |
Insufficient Logging & Monitoring 不足的记录和监控漏洞 |
Server-Side Request Forgery 服务器端请求伪造 |
2、漏洞描述
A1:2017-注入
将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据