2.8 KiB
2.8 KiB
OWASP Top Ten
Definition
The OWASP Top Ten represents a broad consensus about the most critical security risks to web applications. It is a standard awareness document for developers and web application security.
Aliases
- OWASP Top 10
- OWASP Top Ten Web Application Security Risks
Purpose
为开发者和安全团队提供最关键 web 应用安全风险的共识性列表,是安全编码和测试的基础标准。
Current List (2021)
A01:2021 – Broken Access Control
访问控制失效,包括:
- 越权访问
- 绕过访问控制
- 不安全的直接对象引用
A02:2021 – Cryptographic Failures
密码学失败,包括:
- 敏感数据泄露
- 弱加密算法
- 不正确的密钥管理
A03:2021 – Injection
注入攻击,包括:
- SQL 注入
- NoSQL 注入
- OS 命令注入
- LDAP 注入
A04:2021 – Insecure Design
不安全设计,包括:
- 缺失或无效的访问控制
- 业务逻辑漏洞
- 威胁建模缺失
A05:2021 – Security Misconfiguration
安全配置错误,包括:
- 不安全的默认配置
- 错误处理信息泄露
- 云服务配置错误
A06:2021 – Vulnerable and Outdated Components
易受攻击和过时的组件,包括:
- 使用有漏洞的库
- 未更新依赖
- 不支持组件
A07:2021 – Identification and Authentication Failures
身份识别和认证失败,包括:
- 弱密码策略
- 会话管理问题
- 凭证泄露
A08:2021 – Software and Data Integrity Failures
软件和数据完整性失败,包括:
- 不安全的 CI/CD
- 依赖混淆攻击
- 更新未签名
A09:2021 – Security Logging and Monitoring Failures
安全日志和监控失败,包括:
- 未记录安全事件
- 告警未处理
- 响应延迟
A10:2021 – Server-Side Request Forgery (SSRF)
服务端请求伪造,包括:
- 从应用获取内部资源
- 绕过防火墙
- 访问云元数据服务
Integration with DevSecOps
Development Phase
- 安全编码培训以 OWASP Top Ten 为基础
- SAST 工具检测相关漏洞
- 代码审查关注常见问题
Testing Phase
- DAST 工具模拟 Top Ten 攻击
- 渗透测试重点关注
- 自动化测试集成
Operations Phase
- 监控 Top Ten 相关告警
- 漏洞扫描覆盖
- 补丁管理
Related Concepts
- DevSecOps — OWASP Top Ten 是安全编码和测试的基础
- SAST — 检测代码中的 OWASP 问题
- DAST — 动态检测 OWASP 漏洞
- SCA — 检测易受攻击的组件
- Shift-Left-Security — 早期发现 OWASP 问题
Resources
- OWASP 官网:https://owasp.org/www-project-top-ten/
- OWASP Cheat Sheets
- OWASP WebGoat(学习工具)