日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

【.com 獨(dú)家報(bào)道】OWASP大會(huì)剛剛閉幕，相信很多東西還是值得大家回味的。那么作為特邀媒體，參加了全程大會(huì)，有關(guān)OWASP會(huì)議詳細(xì)情況請瀏覽 OWASP 2010中國峰會(huì)專題報(bào)道。從會(huì)議上，我們了解到了OWASP Top 10 2010的相關(guān)概念，這里我們就來簡單解析一下。

臨高網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)建站,臨高網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為臨高1000+提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢，請找那個(gè)售后服務(wù)好的臨高做網(wǎng)站的公司定做！

顧名思義，OWASP（開放式web應(yīng)用程序安全項(xiàng)目）關(guān)注web應(yīng)用程序的安全。OWASP這個(gè)項(xiàng)目最有名的，也許就是它的“十大安全隱患列表”。這個(gè)列表不但總結(jié)了web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大安全隱患，還包括了如何消除這些隱患的建議。（另外，OWASP還有一些輔助項(xiàng)目和指南來幫助IT公司和開發(fā)團(tuán)隊(duì)來規(guī)范應(yīng)用程序開發(fā)流程和測試流程，提高web產(chǎn)品的安全性。）這個(gè)“十大”差不多每隔三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隱患列表，該鏈接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增強(qiáng)Web應(yīng)用程序安全》（一共七篇），對(duì)2007年的這個(gè)十大有詳細(xì)的介紹，有興趣的同學(xué)建議去閱讀一下。

“OWASP Top 10 2010”大概將在2010年第一季度發(fā)布，目前處于發(fā)布前最后的征詢意見(RC, request for comments)的階段。本文將對(duì)“OWASP Top 10 2010”RC版本做一個(gè)簡要的介紹。以下凡是提到“OWASP Top 10 2010”之處均指其RC版本。

和“Top 10 2007”相比，“top 10 2010”有如下主要改動(dòng)：

明確指出，“十大”指的是十大安全隱患(top 10 risks)，而非十大最常見的缺陷或薄弱環(huán)節(jié)(not top 10 most common weaknesses)。

修改了用于評(píng)估安全隱患的排名規(guī)則，而非僅僅依賴于安全隱患所關(guān)聯(lián)的缺陷的流行程度和范圍。這一點(diǎn)會(huì)影響新的“十大”的排名次序。

在最新版的“十大”中，用兩個(gè)新的安全隱患替代兩個(gè)舊的安全隱患：

添加新的第6大安全隱患：錯(cuò)誤的安全配置 (Security Misconfiguration)。這曾經(jīng)是“Top 10 2004”當(dāng)中的第10大安全隱患，后來因?yàn)橛X得這不屬于軟件問題而從“Top 10 2007”當(dāng)中移除了。但是，從應(yīng)用程序使用、配置方面的安全隱患程度和常見性來講，足以重新將這條列入十大。

添加新的第8大安全隱患： 未經(jīng)驗(yàn)證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards)。有證據(jù)表明有關(guān)于此的安全問題已經(jīng)相當(dāng)普遍，并且可能造成明顯的危害。

刪除舊的第3大安全隱患： 不安全的遠(yuǎn)程文件引用和執(zhí)行 (Malicious File Execution。注：此非意譯)。這依然是一個(gè)普遍存在的嚴(yán)重的安全問題。不過，它在2007年前后的空前的普遍流行相當(dāng)程度上是因?yàn)楫?dāng)時(shí)很多PHP 程序存在這個(gè)安全隱患。目前，PHP的默認(rèn)設(shè)置中已經(jīng)對(duì)此做了更多的安全方面的彌補(bǔ)和限制，使得這個(gè)安全隱患不再像過去那么普遍。

刪除舊的第6大安全隱患： 信息泄露和不恰當(dāng)?shù)腻e(cuò)誤處理 (Information Leakage and Improper Error Handling)。這個(gè)問題相當(dāng)流行，不過危害程度一般比較有限。

以下是最新的OWASP Top 10 2010 (RC版本，可以從這里下載到官方英文PDF文檔，更多官方英文信息可以參考這里)：

A1 – 注入 (Injection)

A2 – 跨站腳本 (Cross Site Scripting (XSS))

A3 – 無效的驗(yàn)證和會(huì)話管理 (Broken Authentication and Session Management)

A4 – 對(duì)資源不安全的直接引用 (Insecure Direct Object References)

A5 – 跨站偽造請求 (Cross Site Request Forgery (CSRF))

A6 – 錯(cuò)誤的安全配置 (Security Misconfiguration) (新加入)

A7 – 失敗的網(wǎng)址訪問權(quán)限限制 (Failure to Restrict URL Access)

A8 – 未經(jīng)驗(yàn)證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards) (新加入)

A9 – 不安全的密碼存儲(chǔ) (Insecure Cryptographic Storage)

A10 – 薄弱的傳輸層保護(hù) (Insufficient Transport Layer Protection)

【編輯推薦】

1. OWASP 2010中國峰會(huì) 現(xiàn)場演講嘉賓介紹
2. OWASP 2010中國峰會(huì)現(xiàn)場圖文集錦
3. OWASP召開年度Web安全盛會(huì) 解讀應(yīng)用安全趨勢發(fā)展
4. OWASP 2010中國峰會(huì)專題報(bào)道 

標(biāo)題名稱：OWASPTop102010十大安全隱患
文章源于：http://www.dlmjj.cn/article/ccseecp.html