OWASP Top 10 2013：信息系统的主要威胁！

OWASP 是一个全球组织，生产用于提升Web软件安全的资源、文章和材料；今年它发布了新的Top 10，列出信息系统安全的主要威胁。

过去十年，安全问题变得更加复杂，组织要让应用保持安全也越来越困难。因此OWASP试图传播对网络威胁的意识，并促进良好管理。

我们简要看看这份排名中的项目：

1. Injection – 更常被称为SQL Injection，发生在hacker能够向数据库发送任意query时。它主要涉及用于存储和管理Web应用数据的DBMS数据库。如果query没有被适当过滤，hacker就可能获取和修改已保存的信息，或添加新信息。后果包括：访问敏感数据和密码、让动态网页生成恶意代码攻击用户、窃取信用卡、未经授权访问管理区域。
2. Broken Authentication and Session Management – 当session管理不正确时发生，例如凭据、token或session cookie没有得到保护。
3. Cross Site Scripting (XSS) – 如果输入数据没有检查，恶意hacker就可以向用户浏览器发送危险脚本。这样他可以窃取凭据、敏感数据，并强迫受害者下载malware。
4. Insecure Direct Object Reference – 开发人员可能直接引用文件、目录、数据库记录和其他资源。如果没有对引用进行控制，hacker可能操纵或不受控制地访问Web应用资源。
5. Security Misconfiguration – 该漏洞涉及server端及其安装的软件。每个应用都必须始终更新并正确配置。
6. Sensitive date exposure – Web应用设计者必须避免用户敏感数据缺乏保护，例如信用卡代码。
7. Missing Function Level Access Control – 当我们使用已注册网站账户时，可以使用某些功能。非常重要的是，对Web应用中实现的每个单独功能都检查使用权限，确保用户只能访问被授权的功能。
8. Cross Site Request Forgery – 这是一种攻击，会在用户不知情的情况下，强迫已登录某网站的用户执行不想执行的操作。攻击者为此利用社会工程，例如email或chat。
9. Using Components with Known Vulnerabilities – 危险性显而易见的选择。使用带漏洞的组件非常危险，因为这些漏洞可能被利用来篡改系统。
10. Unvalidated Redirects and Forwards – 当应用允许把用户浏览器重定向到其他网站时发生。如果这种做法未受控制，恶意者可能把用户引向含有malware的页面，或用于phishing活动的页面，甚至其图形界面与原应用或网站非常相似。

OWASP的Top 10无疑帮助开发人员、IT专业人士、用户和管理者了解Web信息系统威胁。

今天，如果您想检查自己的门户、受限区域、网站或应用是否受到这些问题影响，可以以合理成本交给专业人员。EasyAudit是帮助企业保护企业网络和Web应用的最佳选择。全部通过EasyAudit Checked标志认证，这是给客户的保证！