OWASP是一个非营利组织,专注于Web应用程序安全。其十大安全漏洞列表和十大隐私风险清单为企业提供了安全指南。安全漏洞包括SQL注入、敏感数据泄露等,应对措施涉及渗透测试、安全培训和安全开发流程。隐私风险涉及过度收集数据,应确保数据最小化并获取用户同意。
OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安全团队评估错误报告。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。
OWASP在业界影响力:
OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则
国际信用卡数据安全技术PCI标准更将其列为必要组件
为美国国防信息系统局(DISA)应用安全和开发清单参考
为欧洲网络与信息安全局(ENISA), 云计算风险评估参考
为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南
为美国国家安全局/中央安全局, 可管理的网络计划提供参考
为英国GovCERTUK提供SQL注入参考
为欧洲网络与信息安全局(ENISA), 云计算风险评估提供参考
- OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准
OWASP 十大隐私风险以及风险应对措施
OWASP 十大隐私风险列表之
Web 应用程序脆弱点
类型:技术 频率:高 影响:很高
描述
在任何保护用户敏感数据或需对用户敏感数据进行操作的系统中,脆弱点都是一
个关键问题。由于未能正确设计和开发应用程序,或虽检测到问题却无法及时修
复应用程序(包括安装补丁),可能都会导致隐私受到侵犯。该风险也包括《OWASP
Top 10》中所述 Web 应用程序脆弱点所引发的风险。攻击示例
①注入漏洞:攻击者可通过诸如 SQL 注入类的攻击对数据进行复制或操作。
② 敏感数据泄露:由于未采用加密技术,导致攻击者可
③通过诸如中间人攻击收集敏感信息。
④使用不安全的直接对象引用:攻击者可猜解并访问敏感信息,特别是在缺少访问控制的情况下。
⑥ 使用含有已知漏洞的组件:如未修复的软件缺陷和错误的安全配置、未加固的应用程序。
⑦一般来说,攻击者可能通过权限滥用、输入恶意代码或窃听通信来访问、操作或删除应用程序正在处理的个人数据。应对措施
①由第三方安全专家定期进行渗透测试。
②追踪发现的补救措施。
③对应用程序开发人员和架构师进行安全培训。
④采用安全开发流程(如:安全开发生命周期 SDL)。
⑤ 定期安装更新、补丁等修补程序。
收集除主要目的需要之外的额外数据
类型:组织 频率:很高 技术:高
描述
所收集的数据为非系统所需的描述性数据、人口统计数据或任何其他与用户相关
的数据。也指用户未提供同意的数据。示例
正面示例:
①电子商城会收集电子邮件地址,进而向买家发送订单确认。除非用户主动选择此选项,否则所述电子邮件地址不会被用于发送关于产品的新闻消息(或其他目的)。
反面示例:
② 亚马逊能够向其用户提供个性化广告。默认设置已勾选该功能,不过用户可以禁用此选项。但是,从隐私保护的角度来看,默认设置应该是禁用它,并且用户应该选择加入以接收个性化的产品推荐应对措施
①对收集个人数据的目的进行定义。
②仅收集目的实现所需的个人数据。
③除非用户另行选择,否则默认设置为收集尽可能少的数据(数据最小化)。
④ 向数据主体提供关于自愿提供额外资料以改善服务(如:产品推荐、个性化广告)的选择,并且可选择不提供。
⑤对需要收集的个人数据进行收集目的的及时明确,而不是在收集数据的时候明确。
⑥有条件的收集:只有在所使用功能确实需要个人数据时才收集这些数据
以上OWASP均参考于OWASP官网 内容
原文链接OWASP Top 10 Privacy Risks
扫一扫
1709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
