主页 / OWASP / OWASP TOP 10(2010中文)
  • 作者
    OWASP
  • 简介

    互联网应用程序所受到的威胁随着攻击者和新技术的提升以及日益复杂的系统在不断改变。为了跟随前进的步伐, 我们周期性地更新OWASP Top 10。在本次2010年版本中,我们做了以下三点重大改变:

    1) 我们明确说明这些Top 10是指十大风险,而不是十大常见漏洞。 详情请见下文的“应用程序安全风险”。 2) 我们改变了风险等级的评估方法,去取代仅依靠关联漏洞频率的办法。该新评估方法决定了如下表所示的Top 10排序。 3) 我们更新了列表中的其中两项:

    • 增加:A6-安全配置错误。这是2004年版本Top 10中的A10:不安全配置管理,由于不再被视为软件问题,因此 在2007年版本中被删除。但是,从一个企业组织风险和普遍性的角度考虑,它显然值得被重新列入Top 10。

    • 增加:A10-尚未验证的重定向和转发。这一问题是第一次被列入Top 10。有证据表明这个相对未知的问题已经广 泛存在并可以产生严重的破坏。

    • 删除:A3-恶意文件执行。这个问题在很多环境中仍然是一个严重的问题。但是,其在2007年版本中提出的普遍 性由大量PHP应用程序问题而导致的。PHP现在已经采用了更多默认的安全配置,从而降低了这个问题的严重程度。

    • 删除:A6-信息泄露和不恰当的错误处理。这个问题十分普遍,但是泄露堆栈跟踪和错误信息的影响通常很小。 在今年的版本中增加了错误的安全配置,恰当的错误处理配置已成为应用程序和服务器安全配置的一个重要部分。

  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • 2010_OWASP_Top_10.pdf
    时间: 大小: 2.21 M 下载: 43