什么是 OWASP Top 10?
- OWASP(Open Web Application Security Project)是一个全球性的安全社区。
- Top 10 是他们定期发布的十大最严重 Web 应用安全风险。
- 它相当于 Web 安全领域的“必修课”。
OWASP Top 10 风险(简要说明)
-
A01:2021 - Broken Access Control(访问控制失效)
- 未正确限制用户权限,导致越权访问。
- 示例:普通用户能访问管理员页面。
-
A02:2021 - Cryptographic Failures(加密失败)
- 使用弱加密、明文传输敏感信息。
- 示例:密码明文存储,HTTP 传输而不是 HTTPS。
-
A03:2021 - Injection(注入漏洞)
- 未正确过滤输入,攻击者可以注入恶意代码。
- 示例:SQL 注入、OS 命令注入。
-
A04:2021 - Insecure Design(不安全设计)
- 业务逻辑缺陷,缺乏安全考虑。
- 示例:购物车打折逻辑被绕过。
-
A05:2021 - Security Misconfiguration(安全配置错误)
- 默认密码、调试模式未关闭、错误信息泄露。
-
A06:2021 - Vulnerable and Outdated Components(使用存在漏洞或过时的组件)
- 依赖库、框架存在已知漏洞但未更新。
-
A07:2021 - Identification and Authentication Failures(身份认证失败)
- 弱密码、暴力破解、Session 管理不当。
-
A08:2021 - Software and Data Integrity Failures(软件和数据完整性失败)
- 缺少完整性验证,可能导致恶意更新或供应链攻击。
-
A09:2021 - Security Logging and Monitoring Failures(安全日志与监控不足)
- 无法及时检测和响应攻击。
-
A10:2021 - Server-Side Request Forgery (SSRF)(服务端请求伪造)
- 攻击者控制服务器发起请求,访问内部系统。
攻击者 vs 防御者思维
-
攻击者:
- 先找弱点(输入点、配置错误、过时组件)。
- 再利用(SQL 注入、弱密码爆破、SSRF)。
-
防御者:
- 编写安全代码(过滤输入、加密数据、权限校验)。
- 配置安全(关闭调试模式、及时更新组件)。
- 日志与监控(发现攻击并快速响应)。
