X

了解我们在中国开展业务的承诺。 阅读全文

Akamai logo
+1-8774252624
+1-8774252624
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源
试用 Akamai 产品
遭受攻击?
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源

什么是 OWASP?

开放全球应用程序安全项目 (OWASP) 是一个致力于提高软件安全性的非营利基金会。OWASP 最初名为“开放 Web 应用程序安全项目”,成立于 2001 年,其使命是“成为通过教育、工具和协作为安全软件提供支持的全球开放社区”。截至 2024 年,OWASP 基金会在全球各地(包括非洲、亚洲、加勒比海地区、中美洲、欧洲、北美洲、大洋洲和南美洲)设立了 250 多个地方分会。

OWASP 的作用是什么?

OWASP 负责协调一系列由社区主导的开源软件项目以及业界领先的教育和培训会议。任何有志于提升应用程序安全性的个人,都可以免费访问该组织的项目、工具、文档、论坛以及各地分会提供的资源。

OWASP 十大安全风险列表是什么?

OWASP 十大安全风险列表列出了 Web 应用程序面临的最严重安全风险,这些风险由世界各地的安全专家一致认定。OWASP 十大安全风险列表旨在为各公司、DevOps 团队、监管机构和其他利益相关者提供指南,帮助他们确保 Web 应用程序的安全,并改变软件开发文化以构建更安全的代码。

OWASP 十大安全风险列表是如何编制的?

OWASP 十大安全威胁列表由开放社区的贡献者结合自身经验和专业知识确定,并经全球安全专家一致认定。相关风险根据多种因素进行排名,包括每个安全漏洞发生的频率以及其潜在影响的严重性和规模。

OWASP 十大 Web 应用程序安全风险有哪些?

下载 《Akamai OWASP 十大安全风险白皮书》

  1. A01:2021 权限控制失效 允许攻击者访问用户帐户并充当用户或管理员。它还可能允许普通用户使用意外的特权功能。
  2. A02:2021 加密机制失效 是指重要或敏感数据在进行存储或传输的过程中遭到泄露。
  3. A03:2021 代码注入攻击 (如 SQL 注入攻击)是指攻击者向 Web 应用程序发送无效数据或恶意代码,以使该应用程序执行其不应该执行的操作。
  4. A04:2021 不安全的设计缺陷 是指应用程序围绕不安全流程开发的情况,例如身份验证流程不完善的应用程序或未采用阻止爬虫程序设计的网站。
  5. A05:2021 安全配置错误 包括云服务权限配置不当、使用默认管理员密码或安装不需要的功能。
  6. A06:2021 危险或过旧的组件 是指不受支持或过时的软件或内部组件造成的漏洞。
  7. A07:2021 认证及验证机制失效 是指应用程序无法正确确认和验证用户身份或建立安全会话管理的情况。
  8. A08:2021 软件和数据完整性失效 是指应用程序的代码和基础架构无法完全保护软件或数据完整性的情况。
  9. A09:2021 安全日志记录和监控失效 是指应用程序在检测和应对安全风险方面能力不足。
  10. A10:2021 服务器端请求伪造 是指 Web 应用程序根据用户指定的 URL 从远程资源中提取数据而不验证 URL 的情况。

什么是 OWASP API 安全项目?

除了对十大 Web 应用程序安全风险进行排名之外,OWASP 还编制了“十大 API 安全风险列表”,其中列出了 应用程序编程接口 (API) 中最危险的安全问题和漏洞。该列表最初于 2019 年编制,并于 2023 年进行了更新。

OWASP 十大 API 安全风险列表自 2019 年以来的重大变化示意图。 OWASP 十大 API 安全风险列表自 2019 年以来的重大变化示意图。

想要了解更多信息?请阅读关于此主题的 Akamai 博文:

OWASP 十大 API 安全风险列表中列出了哪些漏洞?

  1. API1:2023 遭到破坏的对象级授权 是指 API 端点上缺乏适当的访问控制,而导致敏感数据泄露并允许未经授权的用户访问和更改敏感数据的情况。
  2. API2:2023 失效的身份验证 是指身份验证机制实施不当时,攻击者能够破坏身份验证令牌或利用实施缺陷来冒充其他用户身份的情况。
  3. API3:2023 失效的对象属性级授权 是指 API 未在对象属性级别正确验证授权的情况。
  4. API4:2023 不受限制的资源消耗 涉及使用大量网络带宽、CPU、内存和存储的请求,可能会导致拒绝服务或成本增加。
  5. API5:2023 遭到破坏的功能级授权 是授权缺陷导致的,该缺陷源于具有不同层次、组和角色的访问控制策略过于复杂,以及管理功能和常规功能之间的分工不明确。
  6. API6:2023 不受限制的敏感业务流访问 是指 API 公开了业务流程,但并未对其进行限制或未针对可能以自动化方式过度使用该功能的潜在风险进行补偿的情况。
  7. API7:2023 服务器端请求伪造 是指 API 获取远程资源而未对用户提供的 URI 进行验证时,攻击者能够强迫应用程序向意外的目标位置发送特制请求的情况。
  8. API8:2023 安全配置错误 是指软件和 DevOps 工程师未能正确对 API 和支持 API 的系统进行配置的情况。
  9. API9:2023 不当的资产管理 是指 IT 管理员未能正确记录和更新主机及已部署 API 版本的清单的情况。
  10. API10:2023 不安全的 API 使用 是指开发人员在未进行审查的情况下信任第三方 API 而导致安全态势减弱的情况。

OWASP 还有哪些其他项目?

OWASP 负责协调和监督许多备受关注的项目。

  • Dependency-Track 是一个智能组件分析平台,可帮助企业识别和降低软件供应链中的风险。Dependency-Track 会监控应用程序每个版本中的组件使用情况,以主动识别整个企业内的风险。
  • Juice Shop 是一个高度不安全的 Web 应用程序,设计用于安全培训、意识演示、CTF(夺旗比赛),并可作为安全工具的实验对象。Juice Shop 在编写时涵盖了 OWASP 十大安全风险中的所有漏洞以及经常在现实应用程序中发现的许多其他安全缺陷。
  • OWASP 移动应用程序安全性项目 是移动应用程序的安全标准和全面测试指南。它涵盖了移动应用程序安全测试中使用的流程、技术和工具,并提供了一套详尽的测试用例,可帮助测试人员得出一致、全面的结果。
  • OWASP ModSecurity 核心规则集 是一组通用攻击检测规则,可以与 ModSecurity 或兼容的 Web 应用程序防火墙一起使用
  • 软件保障成熟度模型 提供了一种有效且可衡量的方法来分析和改进安全开发生命周期。
  • Web 安全测试指南项目 是面向 Web 应用程序开发人员和安全专业人员的首要 网络安全测试资源。

OWASP 如何帮助提高 API 安全性和 Web 安全性?

企业及其安全团队可以从各个 OWASP 十大列表中获得切实可行的信息。这些列表是安全团队的重要检查清单,也是 DevOps 团队的安全标准。在评估企业是否遵守 Web 应用程序安全性和 API 保护的最佳实践和开发标准时,审核员可以使用这些列表。

客户为什么选择 Akamai

Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展出海业务。

探索 Akamai 的所有安全解决方案

一探究竟