资料列表
Preview Name 作者 Date File info
  • OWASP中国2017年度报告V1.0
  • OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究 。我们的使命是使应用软件 更加安全,使企业和组织能够对应用安全风险作出更清晰的决策 。

owasp中国运营中心
  • 附件: 1 个
  • 大小: 3.25 M
  • OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险 最终版
  • 2017年最终版TOP 10十大应用软件安全风险

    • A1:2017 – 注入
    • A2:2017 – 失效的身份认证
    • A3:2017 – 敏感信息泄漏
    • A4:2017 – XML外部实体(XXE)
    • A5:2017 – 失效的访问控制
    • A6:2017 – 安全配置错误
    • A7:2017 – 跨站脚本(XSS)
    • A8:2017 – 不安全的反序列化
    • A9:2017 – 使用含有已知漏洞的组件

    A10:2017 – 不足的日志记录和监控

owasp
  • 附件: 1 个
  • 大小: 1.58 M
  • OWASP Top 10 2017(RC1)中文版
  • 2017 RC1版Top 10风险

    • A1—注入

    注入攻击漏洞,例如:SQL、OS 以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。

    • A2—失效的身份认证和会话管理

    与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份(临时性的或永久性的)。

    • A3—跨站脚本(XSS)

    当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

    • A4—失效的访问控制

    对已通过身份验证用户的运行限制,没有得到恰当的强制执行。攻击者可以利用这些缺陷访问未经授权的功能和/或数据, 例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

    • A5—安全配置错误

    好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应用程序的库文件。

    • A6—敏感信息泄漏

    许多Web应用程序没有正确保护敏感数据,如信用卡,税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。敏感数据值需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预防措施。

    • A7—攻击检测与防护不足

    大多数应用程序和API都缺乏检测、防止和响应手动和自动攻击的基本能力。攻击防护远远超出了基本的输入验证,并涉及到自动检测、记录、响应,甚至阻止漏洞的利用企图。应用程序所有者还需能够快速部署修补程序以防止攻击。

    • A8—跨站请求伪造(CSRF)

    一个跨站请求伪造攻击迫使用户已登录的浏览器将伪造的HTTP请求(包括该用户的会话cookie和其他认证信息)发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。

    • A9—使用含有已知漏洞的组件

    组件,比如:库文件、框架和其它软件模块,几乎总是以全部的权限运行。如果一个带有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。

    • A10—未受到充分保护的API

    现代应用程序通常涉及富客户端的应用程序和API,如:在浏览器和移动应用程序中的JavaScript,它们连接到某种API(如:SOAP/XML、REST/JSON、RPC、GWT等)。这些API通常是没有保护的, 并且包含大量漏洞。

OWASP
  • 附件: 1 个
  • 大小: 1.53 M
  • OWASP Top 10–2017 rc1候选版[DSRC全文翻译]
  • 滴滴安全DSRC翻译了候选版(非正式发布版)以便于大家快速阅读,希望大家关注OWASP Top 10项目给我们指导意见的同时,并向OWASP Top 10项目提供更多有价值的反馈。

    OWASP Top 10 – 2017 (新版)

    • A1 – 注入
    • A2 –失效的身份认证和会话管理
    • A3 –跨站脚本 (XSS)
    • A4 –失效的访问控制(最初归类在2003/2004)
    • A5 –安全配置错误
    • A6 –敏感信息泄露
    • A7 –攻击检测与防范不足(NEW)
    • A8 –跨站请求伪造(CSRF)
    • A9 –使用含有已知漏洞的组件
    • A10 – 未受保护的APIs (NEW)
滴滴安全DSRC
  • 附件: 2 个
  • 大小: 2.5 M
Colin Watson
  • 附件: 1 个
  • 大小: 0.56 M
  • 首席安全官(CISO)应用安全指南 Version 1.0 (November 2013)
  • 首席安全官们(CISO)负责从治理、合规性和风险的角度对待应用的安全性。 首席安全官应用安全指南旨在帮助CISO根据自己的角色、职责、观点和需要管 理应用安全计划。应用安全最佳实践和OWASP的资源在整个指南中被引用。

    目标 本指南能够帮助CISO从曝光的新威胁和合规性要求方面考虑管理应用安全 风险。该指南可以帮助CISO们:

    •  使应用安全对CISO可见
    • 确保应用符合隐私安全、数据保护和信息安全相关法规
    •  优先修复有风险的业务漏洞
    •  为构建应用安全提供指导意见
    •  分析针对应用的网络威胁并找出对策  衡量和管理应用安全风险和流程
Marco Morana
  • 附件: 1 个
  • 大小: 2.88 M
  • OWASP 应用程序安全设计项目
  • 目录

    • 1 简介 3
    • 2 了解设计 3
      • 21 什么是应用程序设计?3
      • 22 为什么需要设计审核?3
    • 3 设计审核方法 4
      • 31 设计文档收集4
      • 32 设计调研4
      • 33 设计分析5
      • 34 提出安全需求6
      • 35 推荐设计变更6
      • 36 团队讨论7
      • 37 设计完成7
    • 附件 1 应用程序安全设计清单 8
  • 附件: 1 个
  • 大小: 0.34 M