发布于2022年10月16日3年前 什么是 OWASP 前 10 名,以及——同样重要的是——它不是什么?在本次审查中,我们着眼于如何使这份关键风险报告为您和您的组织工作。 什么是 OWASP? OWASP是开放 Web 应用程序安全项目,是一个致力于提高 Web 应用程序安全性的国际非营利组织。 它的核心原则是其所有材料都可以免费获得并且易于在线访问,因此任何地方的任何人都可以提高自己的网络应用程序的安全性。它提供了许多工具、视频和论坛来帮助您做到这一点——但他们最著名的项目是 OWASP Top 10。 前 10 大风险 OWASP Top 10概述了 Web 应用程序安全的最关键风险。该列表由来自世界各地的安全专家团队汇总而成,旨在提高人们对当前安全形势的认识,并为开发人员和安全专业人员提供对最新和最普遍的安全风险的宝贵见解。 它还包括一份清单和补救建议,专家可以将其纳入自己的安全实践和操作中,以最大程度地减少和/或减轻其应用程序的风险。 为什么你应该使用它 随着 Web 应用程序市场的发展,OWASP 每两到三年更新一次其 Top 10,它是世界上一些最大组织的黄金标准。 因此,如果您不解决前 10 名中列出的漏洞,您可能会被视为达不到合规性和安全性。相反,将列表集成到您的运营和软件开发中表明了对行业最佳实践的承诺。 为什么你不应该 一些专家认为 OWASP Top 10 存在缺陷,因为该列表过于有限且缺乏上下文。通过只关注前 10 名风险,它忽略了长尾。更重要的是,OWASP 社区经常争论排名,以及第 11 位或第 12 位是否属于该列表而不是更高的位置。 这些论点有一些优点,但 OWASP Top 10 仍然是解决安全意识编码和测试的主要论坛。这很容易理解,它可以帮助用户确定风险的优先级,并且具有可操作性。在大多数情况下,它关注的是最关键的威胁,而不是特定的漏洞。 那么,答案是什么? Web 应用程序漏洞对企业不利,对消费者不利。重大违规行为可能导致大量数据被盗。这些违规行为并不总是由未能解决 OWASP Top 10 的组织引起的,但它们是一些最大的问题。如果您不打算阻止注入、会话捕获或 XSS,则无需担心防火墙中模糊的零日漏洞。 那你该怎么办?首先,对每个人进行良好的安全卫生培训。进行动态应用程序安全测试,包括渗透测试。确保管理员充分保护应用程序。并使用在线漏洞扫描程序。 超越 OWASP 像大多数组织一样,您可能已经在使用许多不同的网络安全工具来保护您的组织免受 OWASP 列出的威胁。虽然这是一个很好的安全立场,但漏洞管理可能既复杂又耗时。 但不一定是这样。Intruder通过与您的 CI/CD 管道集成以自动发现任何网络弱点,从而轻松保护您的应用程序。 您可以跨边界执行安全检查,包括应用层漏洞检查,包括对 OWASP Top 10、XSS、SQL 注入、CWE/SANS Top 25、远程代码执行、操作系统命令注入等的检查。 除了 Web 应用程序检查之外,Intruder 还会对您的公共和私人可访问的服务器、云系统和端点设备进行审查,以确保您受到全面保护。 阅读最新报告以更深入地了解 OWASP 前 10 名。或者,如果您已准备好了解 Intruder 如何找到您业务中的网络安全漏洞,请立即注册免费试用。
