OWASP前十是Web应用安全风险最广泛认可的标准。无论您是开发人员、安全工程师还是业务领导者——本指南通过真实案例、检测技术和修复策略解释每个类别。
定期更新的认知文档,对Web应用最关键的安全风险进行排名。基于来自数百个组织的数据分析、社区调查和真实泄露数据。被PCI DSS、DORA、NIS2和许多行业标准引用。
第1号最常见漏洞——在94%的测试应用中发现。
/api/users/123/profile更改为/api/users/124/profile/admin/dashboard以前称为"敏感数据暴露"——重命名以关注根本原因。
使用HSTS在任何地方强制HTTPS。使用AES-256、bcrypt/Argon2、SHA-256+。永远不要硬编码密钥——使用Vault或AWS Secrets Manager。加密静态数据。禁用TLS 1.0/1.1。
经典Web漏洞——二十年后仍在前三名。
' OR 1=1 --和更复杂的攻击所有DB交互使用参数化查询。使用允许列表进行输入验证。针对上下文进行输出编码。Content Security Policy头。最小权限DB账户。始终如一地使用ORM。
新类别——设计层面的缺陷,而非实现错误。
修复:将威胁建模(STRIDE、PASTA)整合到设计阶段。使用安全设计模式。与用例一起编写滥用案例。
在90%的测试应用中发现。
可重复的加固过程。删除所有不必要的功能。实施所有安全头。使用IaC自动化配置管理。定期配置审计。使用CSPM进行云配置管理。
修复:维护组件清单(SBOM)。持续监控CVE数据库。删除未使用的依赖项。使用Dependabot/Renovate自动化更新。
实施MFA。使用泄露数据库检查强制强密码。认证端点速率限制。安全会话管理(随机ID、HTTPOnly/Secure标志)。注销/密码更改时使会话失效。
修复:所有软件/数据的数字签名。外部资源的子资源完整性(SRI)。具有访问控制和签名的安全CI/CD。避免不安全的反序列化——使用JSON。
识别泄露的平均时间:204天(IBM 2024)。没有足够的日志记录,攻击者可以建立持久性、渗出数据并扩大他们的立足点——所有这些都不会触发警报。
修复:记录所有认证事件、访问控制失败和输入验证失败。包括上下文(时间戳、用户、IP、操作)。将日志集中在防篡改SIEM中。实施自动化警报。定期测试检测能力。
新类别——由于在云原生架构中日益普遍而添加。
http://169.254.169.254/获取IAM凭据在服务器端验证所有用户提供的URL。使用允许列表限制允许的域。阻止私有IP范围(10.x、172.16.x、169.254.x、127.x)。禁用不必要的URL方案(file://、gopher://)。在AWS上使用IMDSv2。分段URL获取服务。
| OWASP类别 | KENSAI覆盖范围 |
|---|---|
| A01 失效的访问控制 | IDOR测试、授权绕过、CORS检查 |
| A02 加密失效 | TLS分析、头检查、加密验证 |
| A03 注入 | SQL、XSS、命令注入、SSTI、头注入 |
| A04 不安全设计 | 速率限制、可预测资源、逻辑测试 |
| A05 安全配置错误 | 头、默认值、信息披露、HTTP方法 |
| A06 易受攻击组件 | 技术指纹识别、332K+ CVE数据库 |
| A07 认证失效 | 默认凭据、会话测试、cookie分析 |
| A08 完整性失效 | SRI检查、反序列化测试 |
| A09 日志失效 | 安全头分析、错误处理审查 |
| A10 SSRF | 内部端点注入、云元数据测试 |
失效的访问控制(A01)——在94%的测试应用中发现。它从第5位上升到第1位,反映了在执行授权方面的广泛失败,特别是在API和SPA中。
OWASP前十本身是自愿的。但是,它被PCI DSS(要求解决OWASP前十)、NIS2(期望系统化漏洞管理)、DORA(引用行业标准测试)和许多供应商评估所引用。实际上,它是事实上的强制性。
自动化DAST工具有效检测大多数类别——特别是注入(A03)、加密失效(A02)、配置错误(A05)和易受攻击组件(A06)。某些类别如不安全设计(A04)和日志失效(A09)通常需要手动评估。使用自动化扫描获得广度+手动测试获得深度。
每3-4年。主要发布:2013、2017、2021。每次更新反映威胁形势变化——2021年更新引入了不安全设计(A04)和SSRF(A10),同时重组了其他类别。
安全不是可选的。
🗡️ KENSAI团队
Get a free security scan of your website in 60 seconds
Free Security Scan →