【51CTO.com 獨(dú)家報(bào)道】OWASP大會(huì)剛剛閉幕，相信很多東西還是值得大家回味的。那么51CTO作為特邀媒體，參加了全程大會(huì)，有關(guān)OWASP會(huì)議詳細(xì)情況請(qǐng)瀏覽51CTO OWASP 2010中國(guó)峰會(huì)專(zhuān)題報(bào)道。從會(huì)議上，我們了解到了OWASP Top 10 2010的相關(guān)概念，這里我們就來(lái)簡(jiǎn)單解析一下。

顧名思義，OWASP（開(kāi)放式web應(yīng)用程序安全項(xiàng)目）關(guān)注web應(yīng)用程序的安全。OWASP這個(gè)項(xiàng)目最有名的，也許就是它的“十大安全隱患列表”。這個(gè)列表不但總結(jié)了web應(yīng)用程序最可能、最常見(jiàn)、最危險(xiǎn)的十大安全隱患，還包括了如何消除這些隱患的建議。（另外，OWASP還有一些輔助項(xiàng)目和指南來(lái)幫助IT公司和開(kāi)發(fā)團(tuán)隊(duì)來(lái)規(guī)范應(yīng)用程序開(kāi)發(fā)流程和測(cè)試流程，提高web產(chǎn)品的安全性。）這個(gè)“十大”差不多每隔三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隱患列表，該鏈接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增強(qiáng)Web應(yīng)用程序安全》（一共七篇），對(duì)2007年的這個(gè)十大有詳細(xì)的介紹，有興趣的同學(xué)建議去閱讀一下。

“OWASP Top 10 2010”大概將在2010年第一季度發(fā)布，目前處于發(fā)布前最后的征詢(xún)意見(jiàn)(RC, request for comments)的階段。本文將對(duì)“OWASP Top 10 2010”RC版本做一個(gè)簡(jiǎn)要的介紹。以下凡是提到“OWASP Top 10 2010”之處均指其RC版本。

和“Top 10 2007”相比，“top 10 2010”有如下主要改動(dòng)：

明確指出，“十大”指的是十大安全隱患(top 10 risks)，而非十大最常見(jiàn)的缺陷或薄弱環(huán)節(jié)(not top 10 most common weaknesses)。

修改了用于評(píng)估安全隱患的排名規(guī)則，而非僅僅依賴(lài)于安全隱患所關(guān)聯(lián)的缺陷的流行程度和范圍。這一點(diǎn)會(huì)影響新的“十大”的排名次序。

在最新版的“十大”中，用兩個(gè)新的安全隱患替代兩個(gè)舊的安全隱患：

添加新的第6大安全隱患：錯(cuò)誤的安全配置 (Security Misconfiguration)。這曾經(jīng)是“Top 10 2004”當(dāng)中的第10大安全隱患，后來(lái)因?yàn)橛X(jué)得這不屬于軟件問(wèn)題而從“Top 10 2007”當(dāng)中移除了。但是，從應(yīng)用程序使用、配置方面的安全隱患程度和常見(jiàn)性來(lái)講，足以重新將這條列入十大。

添加新的第8大安全隱患： 未經(jīng)驗(yàn)證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards)。有證據(jù)表明有關(guān)于此的安全問(wèn)題已經(jīng)相當(dāng)普遍，并且可能造成明顯的危害。

刪除舊的第3大安全隱患： 不安全的遠(yuǎn)程文件引用和執(zhí)行 (Malicious File Execution。注：此非意譯)。這依然是一個(gè)普遍存在的嚴(yán)重的安全問(wèn)題。不過(guò)，它在2007年前后的空前的普遍流行相當(dāng)程度上是因?yàn)楫?dāng)時(shí)很多PHP 程序存在這個(gè)安全隱患。目前，PHP的默認(rèn)設(shè)置中已經(jīng)對(duì)此做了更多的安全方面的彌補(bǔ)和限制，使得這個(gè)安全隱患不再像過(guò)去那么普遍。

刪除舊的第6大安全隱患： 信息泄露和不恰當(dāng)?shù)腻e(cuò)誤處理 (Information Leakage and Improper Error Handling)。這個(gè)問(wèn)題相當(dāng)流行，不過(guò)危害程度一般比較有限。

以下是最新的OWASP Top 10 2010 (RC版本，可以從這里下載到官方英文PDF文檔，更多官方英文信息可以參考這里)：

A1 – 注入 (Injection)

A2 – 跨站腳本 (Cross Site Scripting (XSS))

A3 – 無(wú)效的驗(yàn)證和會(huì)話管理 (Broken Authentication and Session Management)

A4 – 對(duì)資源不安全的直接引用 (Insecure Direct Object References)

A5 – 跨站偽造請(qǐng)求 (Cross Site Request Forgery (CSRF))

A6 – 錯(cuò)誤的安全配置 (Security Misconfiguration) (新加入)

A7 – 失敗的網(wǎng)址訪問(wèn)權(quán)限限制 (Failure to Restrict URL Access)

A8 – 未經(jīng)驗(yàn)證的網(wǎng)址重定向 (Unvalidated Redirects and Forwards) (新加入)

A9 – 不安全的密碼存儲(chǔ) (Insecure Cryptographic Storage)

A10 – 薄弱的傳輸層保護(hù) (Insufficient Transport Layer Protection)

【編輯推薦】

1. OWASP 2010中國(guó)峰會(huì) 現(xiàn)場(chǎng)演講嘉賓介紹
2. OWASP 2010中國(guó)峰會(huì)現(xiàn)場(chǎng)圖文集錦
3. OWASP召開(kāi)年度Web安全盛會(huì) 解讀應(yīng)用安全趨勢(shì)發(fā)展
4. OWASP 2010中國(guó)峰會(huì)51CTO專(zhuān)題報(bào)道