OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究 。我们的使命是使应用软件 更加安全，使企业和组织能够对应用安全风险作出更清晰的决策 。

#2017年最终版TOP 10十大应用软件安全风险 - A1:2017 – 注入 - A2:2017 – 失效的身份认证 - A3:2017 – 敏感信息泄漏 - A4:2017 – XML外部实体（XXE） - A5:2017 – 失效的访问控制 - A6:2017 – 安全配置错误 - A7:2017 – 跨站脚本（XSS） - A8:2017 – 不安全的反序列化 -

#2017 RC1版Top 10风险 - A1—注入 注入攻击漏洞，例如：SQL、OS 以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。 - A2—失效的身份认证和会话管理 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了

滴滴安全DSRC翻译了候选版（非正式发布版）以便于大家快速阅读，希望大家关注OWASP Top 10项目给我们指导意见的同时，并向OWASP Top 10项目提供更多有价值的反馈。 #OWASP Top 10 – 2017 (新版) - A1 – 注入 - A2 –失效的身份认证和会话管理 - A3 –跨站脚本 (XSS) - A4 –失效的访问控制(最初归类在2003/2004)

OWASP蛇梯棋项目

首席安全官们(CISO)负责从治理、合规性和风险的角度对待应用的安全性。 首席安全官应用安全指南旨在帮助CISO根据自己的角色、职责、观点和需要管 理应用安全计划。应用安全最佳实践和OWASP的资源在整个指南中被引用。 目标 本指南能够帮助CISO从曝光的新威胁和合规性要求方面考虑管理应用安全 风险。该指南可以帮助CISO们: -  使应用安全对CISO可见 - 确保应用符合隐