- 标签
- OWASP
OWASP Web Application Top 10:Web 应用十大安全风险
- 2026/07/11 19:47
- 1
- 0
- 0
- 24.1℃
OWASP Web Application Top 10:2025 覆盖身份认证、权限控制、软件供应链、加密机制等十大风险,核心变化为将依赖漏洞合并为"软件供应链失效"(A03),新增"异常处理不当"(A10),合并访问控制相关风险。防护需重点实施:默认拒绝并服务端统一鉴权(A01)、配置基线与自动化检查(A02)、SBOM依赖管理、密钥隔离(A04),防御注入需代码与数据分离(A05)。设计需威胁建模(A06),控制写入、密钥生命周期及临时文件清理(A08),日志应记录敏感操作及异常请求(A09)。实现需贯穿需求、编码、测试、发布 stages:设计阶段明确数据分级和风险用例,编码使用统一鉴权组件、参数化查询;测试执行越权、异常路径测试;运维建立日志告警与漏洞响应机制。误区包括WAF替代业务逻辑、扫描即安全,正确做法是整合各流程控制与持续监控。
OWASP 是什么?一文看懂 API Security Top 10
- 2026/07/11 18:41
- 0
- 0
- 0
- 24.0℃
OWASP API安全Top10揭示API面临的核心风险:身份认证失效(Token不可信)、过度暴露字段(BOLA/BOPLA失效)、功能调用越权(BFLA)、资源滥用(如分页拖垮)、敏感流程被自动化滥用(刷券/注册)、SSRF漏洞、配置错误(如CORS过宽)及API清单管理疏漏。防护需做到:服务端校验身份与权限(不信任客户端输入)、查询后强制归属校验、DTO字段白名单控制、综合限流(IP+用户Behavior)、外部数据校验与熔断、API资产全生命周期监控。常见误区包括认为WAF可替代业务授权、忽略注入类基础漏洞防护。重点应围绕用户/权限/数据/接口/频率/依赖六个维度,将授权验证、字段过滤、限流、清单治理融入设计编码测试全流程。