2017 Web 開發安全問題 TOP10,看看中槍了沒?
OWASP Top 10項目對安全問題從威脅和脆弱性進行可能性分析,並結合技術和商業影響的分析,輸出目前一致公認、最嚴重的十類web應用安全風險排名,並提出解決方案建議。
Top 10是一個高度提煉的輸出,現實的意義在於幫助和指導開發者、安全測試人員、web應用安全管理團隊,提高風險意識。其對於安全廠商的產品能力提升也有指導意義。
對於web安全風險管理以及企業安全建設,從來沒有銀彈,建議對照列表(需注意,OWASP歷年來一直強調「不要停滯於OWASP Top 10」)結合自身環境、梳理影響自身應用安全的主要風險因素,並採取有重點的保護防範措施,在人員、流程以及技術層面進行提升。
OWASP TOP10 2017 RC2 包含內容如下:
A1 - 注入缺陷
A2 - 失效的身份認證和會話管理
A3 - 敏感數據泄露
A4 - XML 外部實體注入(XXE)
A5 - 無效的訪問控制
A6 - 安全配置錯誤
A7 - 跨站腳本(XSS)
A8 - 不安全的反序列化
A9 - 使用含有已知漏洞的組件
A10 - 記錄和監控不足
※webRTC——瀏覽器里的音視頻通話
※和 Firebug 說再見 Firefox 宣布 Firebug 的壽命即將終止
※前端小白到30K月薪的路徑有哪些
※vscode 將在下個穩定版本換回藍色 logo!
※希望今天沒有 bug
TAG:JavaScript |