OWASP 是一家非营利基金会,致力于提升软件的安全性。
OWASP(开放式 Web 应用程序安全项目)是一个开放式社区,致力帮助组织设计、开发、获取、运行和维护可信任的安全应用软件。其计划包括由社区主导的开源软件项目以及本地和全球会议,涉及全球数百个分会和数万名成员。
在提高人们对 Web 应用安全风险的警觉性方面,OWASP 发挥着至关重要的作用。它还提供了宝贵的资源、工具、文档和最佳实践,帮助人们应对 Web 应用安全领域日益严峻的挑战。OWASP 致力于帮助开发人员、安全专业人员和组织了解潜在威胁,并为保障安全采取最佳实践。
OWASP 维护了一份列表,其中包含十项最严重的 Web 应用安全风险,以及抑制这些风险的有效流程、规程和控制措施。OWASP 还提供 “API 安全十大风险” 列表,旨在对参与 API 开发和维护的人员做出指导,并提高他们对常见 API 安全弱点的警觉性。
OWASP 社区鼓励个人与组织为社区项目和资源做出贡献。这种基于协作和调查的方法使社区能够利用成员的集体知识和专业技能,从而获得全面、最新的资源。
应用和 API 存在一些共同的安全风险,需要在实施安全解决方案时加以考虑。例如:
风险出现在 “OWASP Top 10” 列表中,不一定表明其在所有 Web 应用中具有普遍性或严重性,并且十大风险并未按特定顺序或优先级排名。
“OWASP Top 10” 列表在 2021 年列出的 Web 应用安全风险包括:
“OWASP Top 10” 列表在 2021 年列出的 Web 应用安全风险包括:
访问控制失效。当未能充分执行访问控制和授权措施,使攻击者能够未经授权地访问功能或数据时,即表示出现此类漏洞。这可能是由不安全的直接对象引用 (IDOR) 导致的。当用户输入被用作对内部对象的直接引用时,如果应用无法对其进行验证或授权,就可能会出现 IDOR。缺少功能级别的访问控制也可能导致此类情况的发生,即应用仅在初始身份验证或授权阶段对访问控制进行检验,但未在应用的整个功能或操作中始终如一地执行这些控制措施。Web 应用防火墙 (WAF) 可以监控并执行访问控制,阻止未经授权地访问敏感对象或资源,从而帮助防范此类攻击。
2021 年的“OWASP Top 10”列表与之前 2017 年的相比,反映了一些新的类别和命名变化。这些变化包括:将 2017 年“XML 外部实体 (XXE)”风险威胁整合到了 2021 年的“安全错误配置”类别中;将 2017 年的“跨站脚本 (XSS)”添加到了 2021 年的“注入”类别中;将 2017 年“不安全的反序列化”风险归入了 2021 年“软件和数据的完整性失效”类别中。
“OWASP 应用安全验证标准 (ASVS)” 项目。该项目为测试 Web 应用技术安全控制措施提供了基准,也为开发人员提供了安全开发所需的清单。
OWASP 通过提高开发人员、安全专业人员和组织对网络应用程序安全风险的认识并倡导最佳实践,在不断提高软件安全性的过程中发挥着至关重要的作用。作为一个社区驱动的项目,OWASP 将专家和爱好者聚集在一起,共同合作提高网络应用程序的安全性,帮助建立一种具有安全意识的文化,促进安全编码实践和安全开发方法。
OWASP CSRFGuard 是一个保护 Web 应用免受跨站请求伪造(CSRF)攻击的库。
OWASP 基金会致力于提高软件的安全性以及人们对 Web 应用安全风险和漏洞的警觉性,F5 对 OWASP 及其行动表示支持。F5 Web 应用防火墙解决方案可以阻止和抑制 “OWASP 十大风险” 列表中提出的广泛风险。
OWASP 基金会致力于提高软件的安全性以及人们对 Web 应用安全风险和漏洞的警觉性,F5 对 OWASP 及其行动表示支持。F5 Web 应用防火墙解决方案可以阻止和抑制 “OWASP 十大风险” 列表中提出的广泛风险。
F5 WAF 解决方案结合了签名和行为保护,内置了来自 F5 Labs 的威胁情报和基于机器学习的安全性,可及时跟进新出现的威胁。它减轻了在云端、本地和边缘环境采取一致方式保护应用安全的负担和复杂性,同时通过集中式 SaaS 基础设施简化了管理。为了简化对应用安全性的管理,F5 WAF 还将保护集成到了开发框架和 CI/CD 管道中,并通过单一仪表板提供核心安全功能、集中化协调以及监督。该仪表板具有全方位视图,可查看所有分布式应用的应用性能和安全事件。
F5 还通过解决方案对“OWASP API 安全十大风险”列表中确定的风险提出了应对方法。随着应用的发展,API 部署的增加,这些解决方案将在不断扩张的攻击面和新型威胁中保护应用和 API 的安全。F5 Web Application and API Protection (WAAP) 解决方案针对现代应用的整个攻击面提供了全方位防护措施,其中包括 WAF、API 安全、L3-L7 DDoS 抑制,以及用于抵抗自动化威胁和欺诈的 Bot 防御。无论您所有的应用和 API 资产托管于何处,该分布式平台都可以在其中轻松部署一致的策略,扩展安全性,并将安全性集成到 API 生命周期和更广泛的生态系统中。
F5 还提供解决 OWASP 对 Web 应用的自动化威胁项目中概述的风险。F5 Distributed Cloud Bot Defense 能够防止可绕过现有 Bot 管理解决方案的欺诈和滥用,并提供实时监控和情报以及基于机器学习的回顾性分析,从而保护组织免受自动化攻击,不会对用户造成干扰或阻碍客户体验。无论攻击者如何调整,无论攻击是从 Web 应用转向 API,还是试图通过伪造遥测数据或使用人工 CAPTCHA 识别器来绕过反自动化防御措施,Distributed Cloud Bot Defense 都能提供有效的防御。
F5 还可以针对高级的线上安全提供多层 DDoS 防护,作为一种云交付型托管式缓解服务,可实时检测并缓解大规模网络、协议和以应用为目标的攻击;同样的防护也可以作为本地硬件、软件和混合解决方案的形式进行使用。F5 Distributed Cloud DDoS Mitigation 可在容量耗尽攻击和特定于应用第 3 到第 4 层及高级的第 7 层攻击到达网络基础设施和应用之前,便对其进行防御。