OWASP Top 10 2010 十大安全隱患
【51CTO.com 獨家報道】OWASP大會剛剛閉幕,相信很多東西還是值得大家回味的。那么51CTO作為特邀媒體,參加了全程大會,有關OWASP會議詳細情況請瀏覽51CTO OWASP 2010中國峰會專題報道。從會議上,我們了解到了OWASP Top 10 2010的相關概念,這里我們就來簡單解析一下。
顧名思義,OWASP(開放式web應用程序安全項目)關注web應用程序的安全。OWASP這個項目最有名的,也許就是它的“十大安全隱患列表”。這個列表不但總結了web應用程序最可能、最常見、最危險的十大安全隱患,還包括了如何消除這些隱患的建議。(另外,OWASP還有一些輔助項目和指南來幫助IT公司和開發團隊來規范應用程序開發流程和測試流程,提高web產品的安全性。)這個“十大”差不多每隔三年更新一次,目前的最新版是《Top 10 2007》(2007年十大web安全隱患列表,該鏈接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增強Web應用程序安全》(一共七篇),對2007年的這個十大有詳細的介紹,有興趣的同學建議去閱讀一下。
“OWASP Top 10 2010”大概將在2010年第一季度發布,目前處于發布前最后的征詢意見(RC, request for comments)的階段。本文將對“OWASP Top 10 2010”RC版本做一個簡要的介紹。以下凡是提到“OWASP Top 10 2010”之處均指其RC版本。
和“Top 10 2007”相比,“top 10 2010”有如下主要改動:
明確指出,“十大”指的是十大安全隱患(top 10 risks),而非十大最常見的缺陷或薄弱環節(not top 10 most common weaknesses)。
修改了用于評估安全隱患的排名規則,而非僅僅依賴于安全隱患所關聯的缺陷的流行程度和范圍。這一點會影響新的“十大”的排名次序。
在最新版的“十大”中,用兩個新的安全隱患替代兩個舊的安全隱患:
添加新的第6大安全隱患:錯誤的安全配置 (Security Misconfiguration)。這曾經是“Top 10 2004”當中的第10大安全隱患,后來因為覺得這不屬于軟件問題而從“Top 10 2007”當中移除了。但是,從應用程序使用、配置方面的安全隱患程度和常見性來講,足以重新將這條列入十大。
添加新的第8大安全隱患: 未經驗證的網址重定向 (Unvalidated Redirects and Forwards)。有證據表明有關于此的安全問題已經相當普遍,并且可能造成明顯的危害。
刪除舊的第3大安全隱患: 不安全的遠程文件引用和執行 (Malicious File Execution。注:此非意譯)。這依然是一個普遍存在的嚴重的安全問題。不過,它在2007年前后的空前的普遍流行相當程度上是因為當時很多PHP 程序存在這個安全隱患。目前,PHP的默認設置中已經對此做了更多的安全方面的彌補和限制,使得這個安全隱患不再像過去那么普遍。
刪除舊的第6大安全隱患: 信息泄露和不恰當的錯誤處理 (Information Leakage and Improper Error Handling)。這個問題相當流行,不過危害程度一般比較有限。
以下是最新的OWASP Top 10 2010 (RC版本,可以從這里下載到官方英文PDF文檔,更多官方英文信息可以參考這里):
A1 – 注入 (Injection)
A2 – 跨站腳本 (Cross Site Scripting (XSS))
A3 – 無效的驗證和會話管理 (Broken Authentication and Session Management)
A4 – 對資源不安全的直接引用 (Insecure Direct Object References)
A5 – 跨站偽造請求 (Cross Site Request Forgery (CSRF))
A6 – 錯誤的安全配置 (Security Misconfiguration) (新加入)
A7 – 失敗的網址訪問權限限制 (Failure to Restrict URL Access)
A8 – 未經驗證的網址重定向 (Unvalidated Redirects and Forwards) (新加入)
A9 – 不安全的密碼存儲 (Insecure Cryptographic Storage)
A10 – 薄弱的傳輸層保護 (Insufficient Transport Layer Protection)
【編輯推薦】
