2024年4月12日发(作者:)

OWASP TOP 10-2010

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)

是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目

的是协助个人、企业和机构来发现和使用可信赖软件。

OWASP发布了最新的Web应用脆弱性的top 10,这是继2007年OWASP对TOP10

进行修订后进行的又一次更改,该版本暂定为OWASP TOP 10- 2010。在新版本的OWASP

TOP10中主要由以下变化:

1. Top10的命名发生了变化。

原先的Top10全称为“The top 10 most critical web application security

vulnerabilities”,即“Web应用的十大关键脆弱性”,现在Top10的全称为“The top 10 most

critical web application security risks”,即“Web应用的十大关键风险”

2. OWASP Top 10的风险评估方法

此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。

3. 替换了2个风险

此次Top 10与2007年的Top 10相比, 在内容上去掉了“Malicious File Execution”(恶

意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错

误处理),增加了“Security misconfiguration”(错误安全配置)和“Unvalidated redirects and

forwards”(未验证的重定向和传递)。

OWASP TOP10 2007

A2-注入

A1-跨站脚本(XSS)

A7-错误的认证和会话管理

A4-不正确的直接对象引用

A5-伪造跨站请求(CSRF)

A10-限制远程访问失败

A8-不安全的加密存储

A9-不足的传输层保护

A3-恶意文件执行

A6-不安全的通讯

OWASP TOP10 2010

A1-注入

A2-跨站脚本(XSS)

A3-错误的认证和会话管理

A4-不正确的直接对象引用

A5-伪造跨站请求(CSRF)

A6-安全性误配置

A7-限制远程访问失败

A8-未验证的重定向和传递

A9-不安全的加密存储

A10-不足的传输层保护

OWASP风险评估方法

OWASP所选取的10大风险是依据OWASP的风险评估方法,我们从标准的风险模型开

始,即风险=可能性*后果,下面我们以以下步骤来说明某个风险的严重程度:

第一步:识别风险

识别风险作为评估的第一步,我们必须找到与这个风险相关的威胁、相应的攻击方法、

隐含在里面的脆弱性以及最终可能造成的后果,当然可能存在多种攻击方法和多种后果,在

评估时我们往往会采用最坏选择,这样就能更客观的反应该风险的最终评级;

第二步:考虑影响可能性的因素

通常,我们不可能很精准的说出某个风险的可能性数值,所以我们一般用高、中、低

来表示,而且影响某个风险的可能性的因素有很多,对于每个因素我们用0到9的数值来表

示。

类别

威胁

因素

技能要求

分项

无需技能

需要一些技术

高级的计算机用户

需要网络和编程技术

安全渗透技术

成功攻击后攻击者的益

很低或无益

可能会有回报

高回报

所需资源或机会 需要很大资源或高权限访问

需要特定的访问权限和特定的资

需要一些访问权限和资源

无需权限或资源

所需的攻击者的角色 开发者

系统管理员

内部用户

合作伙伴

7

9

2

2

4

5

分值

1

3

4

6

9

1

4

9

0

4