資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝學
法學什麼是開放式Web應用程式安全專案 (OWASP)?
開放式Web應用程式安全專案 (OWASP) 是一家致力於增強軟體安全的非營利組織。OWASP 基於“開放社群”的方法,允許任何人參與並貢獻專案、活動、線上對話和其他活動。
OWASP 的指導理念是其網站上的所有資源和資訊都免費且可供任何人自由訪問。OWASP 提供各種工具、影片、論壇、倡議和活動等。簡而言之,OWASP 是涵蓋所有 Web 應用程式安全的一站式資源,由其開放社群貢獻者的集體智慧和專業知識支援。它最出名的是其 OWASP Top 10 專案。
OWASP Top 10
OWASP Top 10 是一份經常更新的報告,概述了 Web 應用程式安全漏洞,重點關注十大最重要威脅。來自世界各地的安全專家小組編制了這份報告。OWASP 將 Top 10 稱為“意識文件”,建議所有企業將該報告納入其流程中,以避免和/或減輕安全風險。
OWASP Top 10 是一項研究工作,對十大最危險的 Web 應用程式安全威脅進行排名,並提供修復建議。這項研究基於全球安全專家達成的共識。這些風險根據漏洞的嚴重性、隔離的安全漏洞的頻率以及其潛在後果的嚴重程度進行分類。
這項研究的目標是讓 Web 應用程式安全專業人員和開發人員更好地瞭解最常見的安全問題,以便他們可以將其結果納入其安全流程中。這有助於限制其線上應用程式中已知風險的存在。
它上次更新於 2017 年,概述了十大網際網路安全問題。
SQL 注入 - 未經信任的資料被解析並注入查詢(例如 SQL、OS、NoSQL 或 LDAP),從而導致執行不需要的指令或未經授權訪問資訊。
身份驗證失效 - 當用戶身份驗證和管理處理不當時,攻擊者可以訪問金鑰、密碼、會話令牌或濫用系統以假冒其他使用者身份。
敏感資料洩露 - 未保護使用者敏感資料的 Web API 可能會洩露財務、醫療保健、個人身份資訊 (PII) 或其他敏感資料。由於資料洩露可能導致身份盜竊、信用卡欺詐和其他犯罪,因此這些資訊應格外小心。
XML 中的外部實體 (XXE) - 攻擊者可以利用使用不安全元件處理 XML 的 Web 應用程式。攻擊者可以上傳 XML 或在 XML 文件中插入惡意指令或材料。
訪問控制不足 - 當攻擊者能夠訪問使用者帳戶時,這被稱為訪問控制失效。攻擊者可以以使用者或管理員身份訪問系統。
安全配置錯誤 - 安全配置錯誤是由於配置錯誤或缺乏導致設計或配置缺陷。例如,預設帳戶及其原始密碼仍然啟用,使系統容易受到攻擊。
跨站點指令碼 (XSS) - 當新網頁上的不受信任的資料未正確驗證或轉義時,攻擊者可以使用 XSS 劫持使用者的會話,執行不需要的站點活動或透過在使用者的瀏覽器中執行指令碼來重定向到惡意站點。
不安全的反序列化 - API 反序列化中的缺陷可能導致遠端程式碼執行、重放攻擊、許可權提升攻擊和注入攻擊。
使用具有已知漏洞的元件 - 由於應用程式元件具有與程式本身相同的訪問級別,因此如果利用了元件的漏洞,則應用程式抵禦攻擊的防禦能力可能會受到影響。
日誌記錄和監控不足 - 日誌記錄和監控是應該定期在網站上執行的兩項任務,以確保其安全。如果網站未正確記錄和監控,則它將更容易受到更嚴重的破壞行為的影響。
OWASP 專案
所有 OWASP 專案、工具、出版物、章節和論壇都是開源且由社群驅動的,允許使用者測試理論或想法,同時從 OWASP 社群獲得專家指導和幫助。儘管它們是由社群驅動和關注的,但它們堅定地支援商業安全技術,幫助企業設計和實施安全計劃,並鼓勵積極主動的安全策略。由於這種社群視角,安全方向可能會考慮所有利益相關者。它有助於組織具有競爭力和可信度,使開發人員對其工作更有信心,並透過提供處理個人資訊的技術來保護終端使用者的資料。
OWASP Wiki
OWASP 的主要任務之一是教育 Web 開發人員、架構師、經理、設計師和組織瞭解 Web 安全的必要性以及未能做到這一點的後果。OWASP wiki 擁有超過二十年的研究支援,並由世界一流的安全專業人員贊助。OWASP 倫理駭客已從數百個組織和數千個應用程式中收集漏洞,以便共享威脅、漏洞和對策資訊。
OWASP 提供各種故意存在缺陷的示例應用程式,以教開發人員如何避免他人的錯誤。OWASP 將協助您的組織進行風險緩解、威脅建模和架構威脅分析,因此它是建立網路和與之建立關係的寶貴資源。
採用各種 OWASP 指南
將 OWASP 合規性作為軟體開發流程和風險管理策略的一部分,將提升貴公司的聲譽。OWASP 為程式碼審查指南和框架建立了行業標準,這些指南和框架為開發人員提供了滲透測試最佳實踐的文件。它還方便開發人員建立自己的滲透測試指南並在其自身環境中評估風險。
透過遵守這些 OWASP 原則並鼓勵開發人員更加重視安全,您的公司將能夠更好地管理漏洞並提高應用程式的整體質量。
880 次檢視
