Web安全看得见.pdfVIP

OWASP组织于2004年成立，致力于提升应用软件的安全性，使得 Web安全看得见 ●文／杨望 兴趣研究Web应用安全的人提供交流和教其主要的一些资源进行介绍。OWASP的资 源町以分为文档、T具两类。 学的平台，目前OWASP在全球共有130多 随着Web2．0的发展．Web应用程序已个分会。 成为目前可：联网上的主要应用。同时Web应 作为一个开源和开放的组织，OWASP始发布的10大最严重Web应用安全漏洞 TenMostCriticalWeb 用程序的漏洞正在以令人吃惊的速度增长。 所有委员会的成员都是志愿者，利用业余 (The Application 时间为OWASP进行工作。OWASP中央委 截至2008年，影响Web应用程序的漏洞数 Security 已占当年发现的总漏洞数的54％，并成为 员会分为两级，位于顶级的伞局委员会 更新的漏洞列表，OWASP会根据新的安 当年漏洞数量增长的主要因子。而随着web(GlobalCommittee)和6个专门子委员会。全全趋势不断对其进行修订。 应用程序的功能增强和结构的复杂化，维 局委员会负责维护OWASP的发展路线，使 最新十大漏洞是： 持Web应用程序的安全也变得越来越困难。之始终围绕着“让应用安全看得见”这个目 1．Cross—Site Scripting：跨站脚本攻击。 标。6个子委员会分别管理教育、会议、工 Web应用程序直接将来自使用者的执行请 最近安全领域知名公司Kaspersky和 业、项目与T具、成员和分会。 求送同浏览器执行，使得攻击者可撷取使 BitDefender的Web主页也相继被黑客利用 SOL注入技术攻破。Web应用的安全问题已 教育子委员会和大学合作开展关于 经到了一个非常严峻的地步。本期介绍的 Web应用安全的教育计划，提高人们对Web成使用者。这是目前最严重的Web应用安 组织就是致力于Web应用安全研究的开放安全的认知度；同时教育子委员会还要争 全漏洞形式。 Web Flaw：Web应用程序执行来 Web应用安全项目(The 取科研基金来支撑()WASP的研究项目。会 2．Injection Open Appli— 自外部包括数据库在内的恶意指令，包括 cation 议子委员会负责安排和宣传0WASP全年在 SecurityPmiect，后文简称OWASP)。 OWASP在2004年于美国成立，是—个各地举行的会议，会议的收入也是OWASP SQLInjection，CommandInjection等多种形 全球性的开源的和开放的社区，其目的是提 进行项目研究和日常运行的主要费用来源。 式攻击。 T业子委员会负责和各种关系国计民生的 3．MaliciousFile 升Web应用软件的安全性。OWASP的口号 是“让应用安全看得见”，这样人们和组织对 基础产业如农业、电力、交通、医疗等进行 程序引入来自外部的恶意文件并执行文件 应用安全风险才能有正确的评估。 联系，因为这些产业也正在并越来越多地 内容。 4．Insecure