OWASP TOP 10的介绍和应用

OWASP（开放式Web应用程序安全项目）是一个开源的、非营利性的全球性安全组织，致力于改进Web应用程序的安全，这个组织最出名是，它总结了10种最严重的Web应用程序安全风险，警告全球所有的网站拥有者，应该警惕这些最常见、最危险的漏洞。这就是著名的OWASP Top 10 OWASP Top 10包括：注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击（XXE）、存取控制中断、安全性错误配置、跨站脚本攻击（XSS）、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。 OWASP TOP10的演变过程是漫长且复杂的，以下为演变过程A01:2021-Broken Access Control从第五位上升；94%的应用程序都经过了某种形式的破坏访问控制的测试。映射到Broken Access Control的34个CWE在应用程序中出现的次数比任何其他类别都多。 A02:2021-Cryptographic Failures上移一位至#2，以前称为敏感数据暴露，这是广泛的症状而不是根本原因。此处重新关注与密码学相关的故障，这些故障通常会导