搜尋此網誌

2010年4月19日 星期一

[研究報告] OWASP Top 10 for 2010 正式公布

owasp_logo OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告,於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了 The Ten Most Critical Web Application Security Risks,顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式,而是以整體的風險來加以評估。當然,風險其實是很”個人化”的,所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估,在實際的應用上必須自行重新評估。

在獲選入榜的項目中,除了排名因為評估方式改變而有所變化外,還有下列幾項的變更:

  • 新增第六項為不正確的安全設定 (Security Misconfiguration)。
  • 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。
  • 移除第三項惡意程式的執行 (Malicious File Execution)。
  • 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。

雖然 Web Application 的安全風險絕對不只是 OWASP Top 10 中列出的項目,但是 OWASP Top 10 的內容依舊極具參考價值,對於有志增進 Web Application 安全的從業人員來說是很重要的文件,甚至更是許多相關產品或政府規範所必備的檢查項目。而且報告中也提供了問題說明與建議的解決方法,算是一份很好的學習與參考資料。這次公布的 OWASP Top 10 包含下列十個項目:

  1. 注入 (Injection)
  2. 跨站腳本攻擊 (Cross-Site Scripting, XSS)
  3. 失效的驗證與連線管理 (Broken Authentication and Session Management)
  4. 不安全的物件參考 (Insecure Driect Object References)
  5. 跨站請求偽造 (Cross-site Request Forgery, CSRF)
  6. 不正確的安全設定 (Security Misconfiguration)
  7. 不安全的加密資料儲存 (Insecure Cryptographic Storage)
  8. 限制網址存取失效 (Failure to Restrict URL Access)
  9. 傳輸層保護的不足 (Insufficient Transport Layer Protection)
  10. 未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)

相關連結:

About