【51CTO.com 獨家報道】OWASP大會剛剛閉幕，相信很多東西還是值得大家回味的。那么51CTO作為特邀媒體，參加了全程大會，有關(guān)OWASP會議詳細(xì)情況請瀏覽51CTO OWASP 2010中國峰會專題報道。從會議上，我們了解到了OWASP Top 10 2010的相關(guān)概念，這里我們就來簡單解析一下。

顧名思義，OWASP（開放式web應(yīng)用程序安全項目）關(guān)注web應(yīng)用程序的安全。OWASP這個項目最有名的，也許就是它的“十大安全隱患列表”。這個列表不但總結(jié)了web應(yīng)用程序最可能、最常見、最危險的十大安全隱患，還包括了如何消除這些隱患的建議。（另外，OWASP還有一些輔助項目和指南來幫助IT公司和開發(fā)團(tuán)隊來規(guī)范應(yīng)用程序開發(fā)流程和測試流程，提高web產(chǎn)品的安全性。）這個“十大”差不多每隔三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隱患列表，該鏈接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增強Web應(yīng)用程序安全》（一共七篇），對2007年的這個十大有詳細(xì)的介紹，有興趣的同學(xué)建議去閱讀一下。

“OWASP Top 10 2010”大概將在2010年第一季度發(fā)布，目前處于發(fā)布前最后的征詢意見(RC, request for comments)的階段。本文將對“OWASP Top 10 2010”RC版本做一個簡要的介紹。以下凡是提到“OWASP Top 10 2010”之處均指其RC版本。

和“Top 10 2007”相比，“top 10 2010”有如下主要改動：

明確指出，“十大”指的是十大安全隱患(top 10 risks)，而非十大最常見的缺陷或薄弱環(huán)節(jié)(not top 10 most common weaknesses)。

修改了用于評估安全隱患的排名規(guī)則，而非僅僅依賴于安全隱患所關(guān)聯(lián)的缺陷的流行程度和范圍。這一點會影響新的“十大”的排名次序。

在最新版的“十大”中，用兩個新的安全隱患替代兩個舊的安全隱患：

添加新的第6大安全隱患：錯誤的安全配置 (Security Misconfiguration)。這曾經(jīng)是“Top 10 2004”當(dāng)中的第10大安全隱患，后來因為覺得這不屬于軟件問題而從“Top 10 2007”當(dāng)中移除了。但是，從應(yīng)用程序使用、配置方面的安全隱患程度和常見性來講，足以重新將這條列入十大。

添加新的第8大安全隱患： 未經(jīng)驗證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards)。有證據(jù)表明有關(guān)于此的安全問題已經(jīng)相當(dāng)普遍，并且可能造成明顯的危害。

刪除舊的第3大安全隱患： 不安全的遠(yuǎn)程文件引用和執(zhí)行 (Malicious File Execution。注：此非意譯)。這依然是一個普遍存在的嚴(yán)重的安全問題。不過，它在2007年前后的空前的普遍流行相當(dāng)程度上是因為當(dāng)時很多PHP 程序存在這個安全隱患。目前，PHP的默認(rèn)設(shè)置中已經(jīng)對此做了更多的安全方面的彌補和限制，使得這個安全隱患不再像過去那么普遍。

刪除舊的第6大安全隱患： 信息泄露和不恰當(dāng)?shù)腻e誤處理 (Information Leakage and Improper Error Handling)。這個問題相當(dāng)流行，不過危害程度一般比較有限。

以下是最新的OWASP Top 10 2010 (RC版本，可以從這里下載到官方英文PDF文檔，更多官方英文信息可以參考這里)：

A1 – 注入 (Injection)

A2 – 跨站腳本 (Cross Site Scripting (XSS))

A3 – 無效的驗證和會話管理 (Broken Authentication and Session Management)

A4 – 對資源不安全的直接引用 (Insecure Direct Object References)

A5 – 跨站偽造請求 (Cross Site Request Forgery (CSRF))

A6 – 錯誤的安全配置 (Security Misconfiguration) (新加入)

A7 – 失敗的網(wǎng)址訪問權(quán)限限制 (Failure to Restrict URL Access)

A8 – 未經(jīng)驗證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards) (新加入)

A9 – 不安全的密碼存儲 (Insecure Cryptographic Storage)

A10 – 薄弱的傳輸層保護(hù) (Insufficient Transport Layer Protection)

【編輯推薦】

1. OWASP 2010中國峰會 現(xiàn)場演講嘉賓介紹
2. OWASP 2010中國峰會現(xiàn)場圖文集錦
3. OWASP召開年度Web安全盛會 解讀應(yīng)用安全趨勢發(fā)展
4. OWASP 2010中國峰會51CTO專題報道