OWASP十大是Web应用安全风险中认可度最高的标准。无论您是开发人员、安全工程师还是业务领导者——本指南都将解释每个类别,并提供真实案例、检测技术和修复策略。
一份定期更新的意识文档,对Web应用最关键的安全风险进行排名。基于数百家组织的数据分析、社区调查和真实入侵数据。被PCI DSS、DORA、NIS2和许多行业标准引用。
排名第一的最常见漏洞——在94%的测试应用中发现。
/api/users/123/profile更改为/api/users/124/profile/admin/dashboard以前称为"敏感数据暴露"——重命名以关注根本原因。
全站强制HTTPS并启用HSTS。使用AES-256、bcrypt/Argon2、SHA-256+。绝不硬编码密钥——使用Vault或AWS Secrets Manager。加密静态数据。禁用TLS 1.0/1.1。
经典的Web漏洞——二十年后仍在前三名。
' OR 1=1 --以及更复杂的攻击所有数据库交互使用参数化查询。使用白名单进行输入验证。根据上下文进行输出编码。内容安全策略头部。最小权限数据库账户。一致使用ORM。
新类别——设计级别缺陷,而非实现错误。
修复:将威胁建模(STRIDE、PASTA)整合到设计阶段。使用安全设计模式。与用例一起编写滥用案例。
在90%的测试应用中发现。
可重复的加固流程。删除所有不必要的功能。实施所有安全头部。使用IaC自动化配置管理。定期配置审计。使用CSPM管理云。
修复:维护组件清单(SBOM)。持续监控CVE数据库。删除未使用的依赖。使用Dependabot/Renovate自动化更新。
实施MFA。使用泄露数据库检查强制执行强密码。认证端点的速率限制。安全会话管理(随机ID、HTTPOnly/Secure标志)。注销/密码更改时使会话失效。
修复:对所有软件/数据进行数字签名。外部资源使用子资源完整性(SRI)。使用访问控制和签名保护CI/CD。避免不安全反序列化——使用JSON。
识别入侵的平均时间:204天(IBM 2024)。没有足够的日志记录,攻击者可以建立持久性、窃取数据并扩大立足点——而不会触发警报。
修复:记录所有认证事件、访问控制失败和输入验证失败。包含上下文(时间戳、用户、IP、操作)。将日志集中到防篡改的SIEM中。实施自动化警报。定期测试检测能力。
新类别——由于云原生架构中日益普遍而添加。
http://169.254.169.254/获取IAM凭证在服务器端验证所有用户提供的URL。对允许的域使用白名单。阻止私有IP范围(10.x、172.16.x、169.254.x、127.x)。禁用不必要的URL方案(file://、gopher://)。在AWS上使用IMDSv2。分割URL获取服务。
| OWASP类别 | KENSAI覆盖 |
|---|---|
| A01 失效的访问控制 | IDOR测试、授权绕过、CORS检查 |
| A02 加密机制失效 | TLS分析、头部检查、加密验证 |
| A03 注入 | SQL、XSS、命令注入、SSTI、头部注入 |
| A04 不安全设计 | 速率限制、可预测资源、逻辑测试 |
| A05 安全配置错误 | 头部、默认设置、信息泄露、HTTP方法 |
| A06 易受攻击组件 | 技术指纹识别、332K+ CVE数据库 |
| A07 身份验证失效 | 默认凭证、会话测试、Cookie分析 |
| A08 完整性失效 | SRI检查、反序列化测试 |
| A09 日志失效 | 安全头部分析、错误处理审查 |
| A10 SSRF | 内部端点注入、云元数据测试 |
失效的访问控制(A01)——在94%的测试应用中发现。它从第5位上升到第1位,反映了在执行授权方面的广泛失败,特别是在API和SPA中。
OWASP十大本身是自愿性的。然而,它被PCI DSS(要求解决OWASP十大)、NIS2(期望系统性漏洞管理)、DORA(引用行业标准测试)和许多供应商评估所引用。实际上,它实际上是强制性的。
自动化DAST工具有效检测大多数类别——尤其是注入(A03)、加密失效(A02)、配置错误(A05)和易受攻击组件(A06)。某些类别如不安全设计(A04)和日志失效(A09)通常需要手动评估。使用自动化扫描获得广度+手动测试获得深度。
每3-4年。主要版本:2013、2017、2021。每次更新都反映了威胁格局的变化——2021年更新引入了不安全设计(A04)和SSRF(A10),同时重组了其他类别。
安全不是可选项。
🗡️ KENSAI团队
Get a free security scan of your website in 60 seconds
Free Security Scan →