您的位置: 网界网 > 周报全文 > 正文

[周报全文]2013 OWASP 最新“十大”有何改变

2014年02月26日 13:46:37 | 作者:网界网记者 鹿宁宁 | 来源:网界网 | 查看本文手机版

摘要:众所周知,OWASP(开放式Web应用程序安全项目)关注Web应用程序的安全。OWASP项目最具权威的就是其"十大安全隐患列表"。

标签
OWASP

众所周知,OWASP(开放式Web应用程序安全项目)关注Web应用程序的安全。OWASP项目最具权威的就是其"十大安全隐患列表"。列表总结了Web应用程序最可能、最常见、最危险的十大安全隐患,帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高Web产品的安全性。这个“十大”以三年为一个周期更新一次,在此,本报将独家首发2013年最新“十大”中文版。本次改变的关键因素是攻击者制造的最新进展、新技术发布带来的新缺陷和大量部署的综合系统。

在2013年“十大”版本中有以下改变:

1)“失效的身份认证和会话管理”风险的排名因数据组中的流行程度而得到提升。OWASP相信这可能是因为这一领域看起来比较困难,而不是因为这些因素真的越来越流行。这导致了A2与A3风险的位置互换。

2)“跨站请求伪造 (CSRF)”风险从2010-A5下降至2013-A8。OWASP认为这是因为CSRF在OWASP Top 10中已经存在了六年,组织和开发人员已经足够重视该风险,从而使CSRF漏洞的数量在应用程序中大量减少。

3)从2010年版OWASP Top 10中扩展了“没有限制URL访问”风险,以包含更多的信息:2010-A8“没有限制URL访问”风险,现在成为2013-A7“功能级访问控制缺失”风险,以包含所有功能级别的访问控制。有许多种方式明确哪种功能被访问,而不仅是URL。

4)合并并扩展了2010-A7和2010-A9,形成2013-A6“敏感信息泄漏”风险。该新风险是由2010-A7“不安全的加密存储”风险和2010-A9“传输层保护不足”风险合并,并添加了浏览器端的敏感数据风险。这个新的风险包含对由用户提供的敏感数据的敏感数据保护(而不是2013年版的A4和A7中包含的访问控制)(+微信关注网络世界),在应用程序中发送并存储,并再次发送给浏览器。

5)添加了2013-A9“使用含有已知漏洞的组件”风险,该风险在2010-A6“安全配置错误”风险中有所提及。但现在越来越多的开发过程中直接使用带有已知漏洞的组件部分,它因此成为了一类单独的风险。

在日益增长的攻击和监管的压力下,应用程序安全已不再是一个可选项,企业必须建立一个有效的机制去确保应用程序的安全。生产环境中的应用程序和代码行数量惊人,许多企业或组织必须努力处理数量巨大的漏洞。OWASP建议这些企业或组织建立一个健全的应用程序安全计划,深入了解并改善其应用程序组合的安全性。(更多内容详见: http://www.cnw.com.cn/P/5501

[责任编辑:孙可 sun_ke@cnw.com.cn]