【51CTO.com 獨家報道】OWASP大會剛剛閉幕，相信很多東西還是值得大家回味的。那么51CTO作為特邀媒體，參加了全程大會，有關OWASP會議詳細情況請瀏覽51CTO OWASP 2010中國峰會專題報道。從會議上，我們了解到了OWASP Top 10 2010的相關概念，這里我們就來簡單解析一下。

顧名思義，OWASP（開放式web應用程序安全項目）關注web應用程序的安全。OWASP這個項目最有名的，也許就是它的“十大安全隱患列表”。這個列表不但總結了web應用程序最可能、最常見、最危險的十大安全隱患，還包括了如何消除這些隱患的建議。（另外，OWASP還有一些輔助項目和指南來幫助IT公司和開發團隊來規范應用程序開發流程和測試流程，提高web產品的安全性。）這個“十大”差不多每隔三年更新一次，目前的最新版是《Top 10 2007》（2007年十大web安全隱患列表，該鏈接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增強Web應用程序安全》（一共七篇），對2007年的這個十大有詳細的介紹，有興趣的同學建議去閱讀一下。

“OWASP Top 10 2010”大概將在2010年第一季度發布，目前處于發布前最后的征詢意見(RC, request for comments)的階段。本文將對“OWASP Top 10 2010”RC版本做一個簡要的介紹。以下凡是提到“OWASP Top 10 2010”之處均指其RC版本。

和“Top 10 2007”相比，“top 10 2010”有如下主要改動：

明確指出，“十大”指的是十大安全隱患(top 10 risks)，而非十大最常見的缺陷或薄弱環節(not top 10 most common weaknesses)。

修改了用于評估安全隱患的排名規則，而非僅僅依賴于安全隱患所關聯的缺陷的流行程度和范圍。這一點會影響新的“十大”的排名次序。

在最新版的“十大”中，用兩個新的安全隱患替代兩個舊的安全隱患：

添加新的第6大安全隱患：錯誤的安全配置 (Security Misconfiguration)。這曾經是“Top 10 2004”當中的第10大安全隱患，后來因為覺得這不屬于軟件問題而從“Top 10 2007”當中移除了。但是，從應用程序使用、配置方面的安全隱患程度和常見性來講，足以重新將這條列入十大。

添加新的第8大安全隱患： 未經驗證的網址重定向 (Unvalidated Redirects and Forwards)。有證據表明有關于此的安全問題已經相當普遍，并且可能造成明顯的危害。

刪除舊的第3大安全隱患： 不安全的遠程文件引用和執行 (Malicious File Execution。注：此非意譯)。這依然是一個普遍存在的嚴重的安全問題。不過，它在2007年前后的空前的普遍流行相當程度上是因為當時很多PHP 程序存在這個安全隱患。目前，PHP的默認設置中已經對此做了更多的安全方面的彌補和限制，使得這個安全隱患不再像過去那么普遍。

刪除舊的第6大安全隱患： 信息泄露和不恰當的錯誤處理 (Information Leakage and Improper Error Handling)。這個問題相當流行，不過危害程度一般比較有限。

以下是最新的OWASP Top 10 2010 (RC版本，可以從這里下載到官方英文PDF文檔，更多官方英文信息可以參考這里)：

A1 – 注入 (Injection)

A2 – 跨站腳本 (Cross Site Scripting (XSS))

A3 – 無效的驗證和會話管理 (Broken Authentication and Session Management)

A4 – 對資源不安全的直接引用 (Insecure Direct Object References)

A5 – 跨站偽造請求 (Cross Site Request Forgery (CSRF))

A6 – 錯誤的安全配置 (Security Misconfiguration) (新加入)

A7 – 失敗的網址訪問權限限制 (Failure to Restrict URL Access)

A8 – 未經驗證的網址重定向 (Unvalidated Redirects and Forwards) (新加入)

A9 – 不安全的密碼存儲 (Insecure Cryptographic Storage)

A10 – 薄弱的傳輸層保護 (Insufficient Transport Layer Protection)

【編輯推薦】

1. OWASP 2010中國峰會 現場演講嘉賓介紹
2. OWASP 2010中國峰會現場圖文集錦
3. OWASP召開年度Web安全盛會 解讀應用安全趨勢發展
4. OWASP 2010中國峰會51CTO專題報道