OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告,於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了 The Ten Most Critical Web Application Security Risks,顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式,而是以整體的風險來加以評估。當然,風險其實是很”個人化”的,所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估,在實際的應用上必須自行重新評估。
在獲選入榜的項目中,除了排名因為評估方式改變而有所變化外,還有下列幾項的變更:
- 新增第六項為不正確的安全設定 (Security Misconfiguration)。
- 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。
- 移除第三項惡意程式的執行 (Malicious File Execution)。
- 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。
雖然 Web Application 的安全風險絕對不只是 OWASP Top 10 中列出的項目,但是 OWASP Top 10 的內容依舊極具參考價值,對於有志增進 Web Application 安全的從業人員來說是很重要的文件,甚至更是許多相關產品或政府規範所必備的檢查項目。而且報告中也提供了問題說明與建議的解決方法,算是一份很好的學習與參考資料。這次公布的 OWASP Top 10 包含下列十個項目:
- 注入 (Injection)
- 跨站腳本攻擊 (Cross-Site Scripting, XSS)
- 失效的驗證與連線管理 (Broken Authentication and Session Management)
- 不安全的物件參考 (Insecure Driect Object References)
- 跨站請求偽造 (Cross-site Request Forgery, CSRF)
- 不正確的安全設定 (Security Misconfiguration)
- 不安全的加密資料儲存 (Insecure Cryptographic Storage)
- 限制網址存取失效 (Failure to Restrict URL Access)
- 傳輸層保護的不足 (Insufficient Transport Layer Protection)
- 未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)
相關連結:
沒有留言:
張貼留言