OWASP Top 10 是最广为人知的 Web 应用安全风险标准。无论您是开发者、安全工程师还是企业领导者 — 本指南通过真实案例、检测技术和修复策略详解每个类别。
定期更新的意识文档,对 Web 应用程序最关键的安全风险进行排名。基于数百个组织的数据分析、社区调查和真实漏洞数据。被 PCI DSS、DORA、NIS2 以及许多行业标准所引用。
#1 最常见的漏洞 — 在 94% 的测试应用中发现。
/api/users/123/profile 改为 /api/users/124/profile/admin/dashboard以前称为"敏感数据暴露" — 重命名以聚焦根本原因。
使用 HSTS 在所有地方强制 HTTPS。使用 AES-256、bcrypt/Argon2、SHA-256+。永远不要硬编码密钥 — 使用 Vault 或 AWS Secrets Manager。加密静态数据。禁用 TLS 1.0/1.1。
经典的 Web 漏洞 — 二十年后仍在前三名。
' OR 1=1 -- 以及更复杂的攻击所有数据库交互使用参数化查询。使用白名单进行输入验证。针对上下文进行输出编码。内容安全策略头。最小权限数据库账户。一致使用 ORM。
新类别 — 设计级缺陷,而不是实现错误。
修复:在设计阶段整合威胁建模(STRIDE、PASTA)。使用安全设计模式。与用例一起编写滥用案例。
在 90% 的测试应用中发现。
可重复的加固流程。删除所有不必要的功能。实施所有安全头。使用 IaC 自动化配置管理。定期配置审计。使用 CSPM 管理云配置。
修复:维护组件清单(SBOM)。持续监控 CVE 数据库。删除未使用的依赖项。使用 Dependabot/Renovate 自动化更新。
实施 MFA。通过漏洞数据库检查来强制执行强密码。在身份验证端点上进行速率限制。安全的会话管理(随机 ID、HTTPOnly/Secure 标志)。在注销/密码更改时使会话失效。
修复:对所有软件/数据进行数字签名。对外部资源使用子资源完整性(SRI)。使用访问控制和签名保护 CI/CD。避免不安全的反序列化 — 使用 JSON。
识别漏洞的平均时间:204 天(IBM 2024)。如果没有足够的日志记录,攻击者可以建立持久性、窃取数据并扩大攻击范围 — 所有这些都不会触发警报。
修复:记录所有身份验证事件、访问控制失败和输入验证失败。包含上下文(时间戳、用户、IP、操作)。在防篡改 SIEM 中集中日志。实施自动警报。定期测试检测能力。
新类别 — 由于在云原生架构中的普遍性增加而添加。
http://169.254.169.254/ 获取 IAM 凭证在服务器端验证所有用户提供的 URL。使用允许域的白名单。阻止私有 IP 范围(10.x、172.16.x、169.254.x、127.x)。禁用不必要的 URL 方案(file://、gopher://)。在 AWS 上使用 IMDSv2。隔离 URL 获取服务。
| OWASP 类别 | KENSAI 覆盖范围 |
|---|---|
| A01 失效的访问控制 | IDOR 测试、授权绕过、CORS 检查 |
| A02 加密机制失效 | TLS 分析、头部检查、加密验证 |
| A03 注入 | SQL、XSS、命令注入、SSTI、头部注入 |
| A04 不安全的设计 | 速率限制、可预测资源、逻辑测试 |
| A05 安全配置错误 | 头部、默认值、信息泄露、HTTP 方法 |
| A06 易受攻击的组件 | 技术指纹识别、332K+ CVE 数据库 |
| A07 身份验证失效 | 默认凭证、会话测试、cookie 分析 |
| A08 完整性失效 | SRI 检查、反序列化测试 |
| A09 日志失效 | 安全头分析、错误处理审查 |
| A10 SSRF | 内部端点注入、云元数据测试 |
失效的访问控制(A01) — 在 94% 的测试应用中发现。它从第 5 位上升到第 1 位,反映了在强制执行授权方面的广泛失败,特别是在 API 和 SPA 中。
OWASP Top 10 本身是自愿的。但是,它被 PCI DSS(要求解决 OWASP Top 10)、NIS2(期望系统的漏洞管理)、DORA(引用行业标准测试)以及许多供应商评估所引用。实际上,它实际上是强制性的。
自动化 DAST 工具有效地检测大多数类别 — 特别是注入(A03)、加密失效(A02)、错误配置(A05)和易受攻击的组件(A06)。像不安全的设计(A04)和日志失效(A09)这样的某些类别通常需要人工评估。使用自动化扫描广度 + 人工测试深度。
每 3-4 年。主要版本:2013、2017、2021。每次更新都反映了威胁格局的变化 — 2021 年的更新引入了不安全的设计(A04)和 SSRF(A10),同时重组了其他类别。
安全不是可选项。
🗡️ KENSAI 团队
Get a free security scan of your website in 60 seconds
Free Security Scan →