OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。
Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。
OWASP Top 10中公布的漏洞,是最容易被黑客利用的,它也成为开发、测试及相关技术人员必须学会的知识。不少互联网公司的相关岗位面试中,OWASP Top 10是最常被提及的。
了解OWASP Top 10,可以有效避免自己的Web应用程序被黑客轻易攻破。
除了OWASP Top 10,OWASP创建了许多项目,例如容器安全十大风险、十大隐私风险、API安全Top 10、十大移动应用恶意行为等等,但风头均没有盖过OWASP Top 10。
Top1 失效的访问控制
Top2 加密失败
Top3 SQL注入
Top4 不安全的设计
Top5 安全配置错误
Top6 易受攻击和过时的组件
Top7 认证和授权失败
Top8 软件和数据完整性故障
Top9 安全日志记录和监控失败
Top10 服务器端请求伪造