OWASP十大是Web应用安全风险最广泛认可的标准。无论您是开发人员、安全工程师还是业务领导者——本指南用真实案例、检测技术和修复策略解释每个类别。
一个定期更新的意识文档,对Web应用最关键的安全风险进行排名。基于来自数百个组织的数据分析、社区调查和真实世界违规数据。被PCI DSS、DORA、NIS2和许多行业标准引用。
排名第一的最常见漏洞——在94%的测试应用中发现。
/api/users/123/profile改为/api/users/124/profile/admin/dashboard以前称为"敏感数据暴露"——重命名以关注根本原因。
在所有地方强制HTTPS并使用HSTS。使用AES-256、bcrypt/Argon2、SHA-256+。永远不要硬编码秘密——使用Vault或AWS Secrets Manager。加密静态数据。禁用TLS 1.0/1.1。
经典的Web漏洞——二十年后仍在前三名。
' OR 1=1 --以及更复杂的攻击对所有数据库交互使用参数化查询。使用白名单进行输入验证。针对上下文的输出编码。内容安全策略头。最小权限数据库账户。一致使用ORM。
新类别——设计级缺陷,而非实现错误。
修复:将威胁建模(STRIDE、PASTA)集成到设计阶段。使用安全设计模式。在用例旁边编写滥用案例。
在90%的测试应用中发现。
可重复的加固流程。删除所有不必要的功能。实施所有安全头。使用IaC自动化配置管理。定期配置审计。对云使用CSPM。
修复:维护组件清单(SBOM)。持续监控CVE数据库。删除未使用的依赖项。使用Dependabot/Renovate自动更新。
实施MFA。通过违规数据库检查强制执行强密码。认证端点的速率限制。安全会话管理(随机ID、HTTPOnly/Secure标志)。在注销/密码更改时使会话失效。
修复:对所有软件/数据进行数字签名。对外部资源使用子资源完整性(SRI)。使用访问控制和签名保护CI/CD。避免不安全的反序列化——使用JSON。
识别违规的平均时间:204天(IBM 2024)。没有充分的日志记录,攻击者可以建立持久性、渗出数据并扩大立足点——所有这些都不会触发警报。
修复:记录所有认证事件、访问控制失败和输入验证失败。包含上下文(时间戳、用户、IP、操作)。在防篡改SIEM中集中日志。实施自动化警报。定期测试检测能力。
新类别——由于在云原生架构中日益普遍而添加。
http://169.254.169.254/获取IAM凭据在服务器端验证所有用户提供的URL。对允许的域使用白名单。阻止私有IP范围(10.x、172.16.x、169.254.x、127.x)。禁用不必要的URL方案(file://、gopher://)。在AWS上使用IMDSv2。分段URL获取服务。
| OWASP类别 | KENSAI覆盖 |
|---|---|
| A01 访问控制失效 | IDOR测试、授权绕过、CORS检查 |
| A02 加密失败 | TLS分析、头检查、加密验证 |
| A03 注入 | SQL、XSS、命令注入、SSTI、头注入 |
| A04 不安全设计 | 速率限制、可预测资源、逻辑测试 |
| A05 安全配置错误 | 头、默认值、信息泄露、HTTP方法 |
| A06 易受攻击组件 | 技术指纹识别、332K+ CVE数据库 |
| A07 认证失败 | 默认凭据、会话测试、cookie分析 |
| A08 完整性失败 | SRI检查、反序列化测试 |
| A09 日志失败 | 安全头分析、错误处理审查 |
| A10 SSRF | 内部端点注入、云元数据测试 |
访问控制失效(A01)——在94%的测试应用中发现。它从第5位上升到第1位,反映了在强制执行授权方面的广泛失败,特别是在API和SPA中。
OWASP十大本身是自愿的。然而,它被PCI DSS(要求解决OWASP十大)、NIS2(期望系统性漏洞管理)、DORA(引用行业标准测试)和许多供应商评估所引用。实际上,它实际上是强制性的。
自动化DAST工具有效检测大多数类别——特别是注入(A03)、加密失败(A02)、配置错误(A05)和易受攻击组件(A06)。不安全设计(A04)和日志失败(A09)等某些类别通常需要手动评估。使用自动化扫描获得广度+手动测试获得深度。
每3-4年。主要版本:2013、2017、2021。每次更新都反映威胁格局变化——2021年更新引入了不安全设计(A04)和SSRF(A10),同时重组了其他类别。
安全不是可选的。
🗡️ KENSAI团队
Get a free security scan of your website in 60 seconds
Free Security Scan →