什么是 OWASP？

开放 Web 应用程序安全项目 (OWASP) 致力于帮助组织和专家提高软件安全性。这个非营利组织通过在其网站上提供免费教育资源来实现这一目标。

OWASP 网站包含许多资源，包括社区论坛、视频、免费安全工具、文档和 OWASP 十大漏洞列表。该列表是一种流行资源，已成为行业标准。它可以识别最关键的漏洞，以帮助确定修复的优先顺序。该清单最初于 2004 年发布，并于 2017 年和 2021 年进行了更新。

这是有关应用程序安全性的广泛指南系列的一部分。

在本文中：

• 为什么 OWASP 对于应用程序安全如此重要？
• OWASP 前 10 名列表
  • OWASP 十大 Web 应用程序风险
  • OWASP API 前 10 名
  • OWASP 移动前 10 名
• 其他 OWASP 项目和工具
  • OWASP Zed 攻击代理 (ZAP)
  • OWASP 备忘单系列
  • OWASP果汁店
  • OWASP 软件保障成熟度模型 (SAMM)
  • OWASP 依赖性检查
  • OWASP 应用程序安全验证标准 (ASVS)
  • OWASP 移动安全测试指南 (MSTG)
  • OWASP 威胁龙
  • OWASP 网络山羊

为什么 OWASP 对于应用程序安全如此重要？

OWASP 免费提供教育内容以帮助缓解安全漏洞。在 OWASP 提供这些资源之前，在线资源并不多，这限制了开发人员的个人知识和专业知识。

OWASP 记录了互联网安全威胁和攻击技术，这些威胁和攻击技术使不良行为者能够利用常见的安全问题，并展示开发人员如何在技术和代码级别解决这些问题。该组织提供信息和具体的黑客技术策略，并提供对抗它们的方法。

多年来，OWASP 帮助社区保护代码免受网络安全漏洞的影响，改进软件加密，并减少代码中的安全错误、错误和缺陷的数量。

OWASP 前 10 名列表

1. OWASP 十大 Web 应用程序风险

Web 应用程序漏洞是在 Web 浏览器上运行的软件中的安全漏洞。Web 访问使应用程序具有高度可访问性，但也使它们面临许多攻击。Web 应用程序受到许多安全漏洞的困扰，这些漏洞通常源自有缺陷的代码和错误配置。

尽管 Web 应用程序可能包含许多漏洞，但这并不意味着您需要立即修复所有漏洞。您可以使用 OWASP Top 10 列表对它们进行优先级排序，其中包括最关键的 Web 应用程序威胁。数据分析师确定了八个漏洞，而行业调查则确定了另外两个威胁。

排名前 10 位的 Web 应用程序漏洞是：

1. 访问控制损坏
2. 加密失败
3. 注射
4. 不安全的设计
5. 安全配置错误
6. 易受攻击和过时的组件
7. 身份验证失败
8. 软件和数据完整性故障
9. 安全日志记录和监控故障
10. 服务器端请求伪造

在我们的 OWASP Top 10 详细指南（即将推出）中了解更多信息

2. OWASP API 前 10 名

2019 年，OWASP 发布了 API Top 10 列表，以提高人们对常见 API 安全风险的认识。API 安全威胁列表重点关注有助于理解和减轻 API 特有的漏洞和安全风险的策略和解决方案。

以下是列表中排名前 10 位的 API 漏洞：

1. 对象级授权被破坏
2. 用户身份验证被破坏
3. 过多的数据暴露
4. 缺乏资源和速率限制
5. 功能级别授权被破坏
6. 批量分配
7. 安全配置错误
8. 注射
9. 资产管理不当
10. 日志记录和监控不足

3. OWASP 移动前 10 名

移动安全项目可以帮助构建和维护安全的移动应用程序和设备。OWASP 经常使用最新的攻击趋势和向量更新项目，以提供可减少攻击可能性和攻击的开发控制。它提供 OWASP 移动前 10 名列表、测试指南、备忘单和其他支持安全开发的资源。

以下是此列表中提到的前 10 个移动漏洞：

1. 平台使用不当
2. 不安全的数据存储
3. 不安全的通讯
4. 不安全的身份验证
5. 密码学不足
6. 不安全的授权
7. 客户端代码质量
8. 代码篡改
9. 逆向工程
10. 无关的功能

其他 OWASP 项目和工具

4.OWASP Zed 攻击代理 (ZAP)

OWASP ZAP 是一种 Web 安全工具，可帮助新手和经验丰富的安全专家测试产品针对攻击的弹性。它充当中间人 (MitM) 代理，拦截并检查客户端和测试的 Web 应用程序之间发送的消息。它包括 API 和安全自动化，有助于简化软件安全测试过程。

在我们的 OWASP ZAP 详细指南（即将推出）中了解更多信息

5. OWASP 备忘单系列

OWASP 备忘单系列提供了一组保护软件应用程序的最佳实践。备忘单经过简化，无需查看非常详细且不切实际的文档。OWASP 备忘单系列为从业者提供了他们可以实际实施的实用步骤。

6. OWASP果汁店

OWASP 的 Juice Shop 帮助笔测试人员、开发人员和其他利益相关者测试和利用漏洞。这家果汁店包含一个现代而复杂的 Web 应用程序，故意充满了根据 OWASP 十大漏洞列表建模的不安全设计。

从业者可以使用OWASP Juice Shop来查看和处理实践中的不安全场景。该平台支持许多用例，包括意识演示、安全培训和夺旗 (CTF) 活动。

7. OWASP 软件保障成熟度模型 (SAMM)

软件保障成熟度模型 (SAMM) 旨在提供有效且可衡量的模型，使所有类型的组织能够分析和改进其软件安全状况。OWASP SAMM 与流程和技术无关，并支持整个软件生命周期。它的建立是为了风险驱动和不断发展。

8. OWASP 依赖性检查

Dependency-Check 是 OWASP 的软件组合分析 (SCA) 工具。它扫描静态代码以识别项目依赖项中公开披露的漏洞。它使用 NIST 的 NVD 数据源自动更新其数据。它使用数据将每个依赖项与已知的通用平台枚举 (CPE) 标识符进行匹配。当它找到 CPE 时，它会生成链接到关联 CVE 条目的报告。

10.OWASP应用程序安全验证标准（ASVS）

OWASP 应用程序安全验证标准 (ASVS) 项目提供了安全开发的要求列表以及测试 Web 应用程序技术安全控制的基线。它有助于建立对应用程序安全性的信心，并防止 SQL 注入和跨站点脚本 (XSS) 等漏洞。

11. OWASP 移动安全测试指南 (MSTG)

MSTG 是一份基于 Android 和 iOS 的逆向工程和安全测试的移动应用安全测试手册。该指南为操作系统安全测试制定了标准，提供了各种功能。它包括安全要求、基本静态和动态测试、移动应用程序逆向工程和篡改以及软件保护评估。

12.OWASP威胁龙

OWASP Threat Dragon 是一种建模工具，遵循威胁建模宣言的原则和价值观。它支持 STRIDE / LINDDUN / CIA，实现规则引擎来自动生成威胁和缓解措施，并提供建模图。您可以将其作为桌面或 Web 应用程序运行，以创建安全开发生命周期的威胁模型图。

13.OWASP网络山羊

WebGoat 是一个故意不安全的应用程序，可让您使用常见的开源组件测试基于 Java 的应用程序中常见的漏洞。它为 Web 应用程序安全性提供了一个交互式教学环境。

LvBug 的应用程序安全

LvBug 和道德黑客社区处于使用 OWASP 加强应用程序安全性并使互联网更安全的最前沿，并参考 OWASP Top 10 来确定其行动的优先级。进一步采用这种方法，LvBug 全球 10 强可以使应用程序安全团队能够通过及时的见解来提高其效率，这些见解按行业细分，并由道德黑客提交的可利用发现推动。这些发现通常是新的或通过创新技术发现的，不太可能出现在 OWASP 数据库中。OWASP 和 LvBug 漏洞利用数据库相结合，可确保在不良行为者开展工作之前发现并修复高严重性漏洞。

了解有关 LvBug 应用程序安全方法的更多信息。 

请参阅我们有关关键应用程序安全主题的附加指南

我们与我们的内容合作伙伴一起编写了有关其他几个主题的深入指南，这些指南在您探索应用程序安全世界时也很有用。

网络攻击

作者：因帕瓦

• 什么是勒索软件 | 攻击类型、保护和清除 
• 什么是木马病毒 | 特洛伊木马恶意软件 
• 什么是社会工程 | 攻击技术及防范方法 

API安全

作者：光明安全

• 您必须了解的 12 个 API 安全最佳实践
• 六大 API 安全测试工具及如何选择
• WS-Security：足以保护您的 SOAP Web 服务吗？

科学技术协会

作者： 蒙德

• SAST 与 SCA：7 个主要差异