nexus/wiki/concepts/OWASP-Top-Ten.md

# OWASP Top Ten

## Definition
The OWASP Top Ten represents a broad consensus about the most critical security risks to web applications. It is a standard awareness document for developers and web application security.

## Aliases
- OWASP Top 10
- OWASP Top Ten Web Application Security Risks

## Purpose
为开发者和安全团队提供最关键 web 应用安全风险的共识性列表，是安全编码和测试的基础标准。

## Current List (2021)

### A01:2021 – Broken Access Control
访问控制失效，包括：
- 越权访问
- 绕过访问控制
- 不安全的直接对象引用

### A02:2021 – Cryptographic Failures
密码学失败，包括：
- 敏感数据泄露
- 弱加密算法
- 不正确的密钥管理

### A03:2021 – Injection
注入攻击，包括：
- SQL 注入
- NoSQL 注入
- OS 命令注入
- LDAP 注入

### A04:2021 – Insecure Design
不安全设计，包括：
- 缺失或无效的访问控制
- 业务逻辑漏洞
- 威胁建模缺失

### A05:2021 – Security Misconfiguration
安全配置错误，包括：
- 不安全的默认配置
- 错误处理信息泄露
- 云服务配置错误

### A06:2021 – Vulnerable and Outdated Components
易受攻击和过时的组件，包括：
- 使用有漏洞的库
- 未更新依赖
- 不支持组件

### A07:2021 – Identification and Authentication Failures
身份识别和认证失败，包括：
- 弱密码策略
- 会话管理问题
- 凭证泄露

### A08:2021 – Software and Data Integrity Failures
软件和数据完整性失败，包括：
- 不安全的 CI/CD
- 依赖混淆攻击
- 更新未签名

### A09:2021 – Security Logging and Monitoring Failures
安全日志和监控失败，包括：
- 未记录安全事件
- 告警未处理
- 响应延迟

### A10:2021 – Server-Side Request Forgery (SSRF)
服务端请求伪造，包括：
- 从应用获取内部资源
- 绕过防火墙
- 访问云元数据服务

## Integration with DevSecOps

### Development Phase
- 安全编码培训以 OWASP Top Ten 为基础
- SAST 工具检测相关漏洞
- 代码审查关注常见问题

### Testing Phase
- DAST 工具模拟 Top Ten 攻击
- 渗透测试重点关注
- 自动化测试集成

### Operations Phase
- 监控 Top Ten 相关告警
- 漏洞扫描覆盖
- 补丁管理

## Related Concepts
- [[DevSecOps]] — OWASP Top Ten 是安全编码和测试的基础
- [[SAST]] — 检测代码中的 OWASP 问题
- [[DAST]] — 动态检测 OWASP 漏洞
- [[SCA]] — 检测易受攻击的组件
- [[Shift-Left-Security]] — 早期发现 OWASP 问题

## Resources
- OWASP 官网：https://owasp.org/www-project-top-ten/
- OWASP Cheat Sheets
- OWASP WebGoat（学习工具）

## Sources
- [[what-is-devsecops-best-practices-benefits-and-tools]]