许多人都知道“OWASP Top 10”。我想知道 OWASP(或任何类似的权威机构)是否已经超越了前 10 个最常见的攻击并列出了更大的列表(例如“OWASP Top 1,000”等)。
我正在充实我的第一个大型 Web 应用程序的要求,并且我想确保我已尽可能做好准备。我想知道我可以去哪里找到一个更大的(但仍然可以管理,不像成千上万!)我需要保护我的网络和应用程序的漏洞列表。
如果不存在这样的“主列表”,IT Sec 将如何建议我研究和保护我的网络应用程序(除了聘请你们中的一个作为顾问!)?任何“必读”书籍/文章/博客?提前致谢!
没有前 1000 名,因为这实际上与大多数人无关。选择 OWASP 前 10 名是因为它们适用于绝大多数 Web 应用程序,如果您不保护它们,很可能会被利用。
除此之外,如果您从已经拥有应用程序和基础架构的位置开始:
这在大型组织中可能非常具有挑战性,但没有它,你怎么知道你容易受到什么影响?
CVE 数据库进入应用程序和平台的特定版本级别,因此您可以获得非常定制的漏洞视图,了解您应该注意的漏洞。它还提供等级(从 1 到 10)和如何利用漏洞的描述(例如本地、远程等)
这可能是环保活动家、恐怖分子、竞争对手、外国政府、无聊的学生、有组织的犯罪团伙等。
您永远无法抵御所有可能的攻击,因此这一步对于帮助您确定有限的预算和时间在哪里可以获得最佳回报至关重要。如果您无法向董事会阐明修复项目的价值,您可能会发现很难获得支持和预算。
实施补救活动
冲洗和重复 -安全永无止境
更好的位置是构建一个安全治理框架,帮助定义和确保开发生命周期中的安全性,因此这将帮助您构建架构和测试计划,以帮助降低漏洞进入代码的可能性 - 但这是更长的讨论,可能会看到您使用顾问:-)
tl;dr - OWASP Top 10 将为您提供关于保护自己所需做的最佳初始视图。之后检查 CVE 数据库中代码的特定漏洞。从长远来看,改进您的程序/框架/SDLC 将为您提供最好的保护。主动,而不是被动。
OWASP 列出的攻击远不止前 10 名。请参阅OWASP Wiki 上的攻击类别。
OWASP Top 10 类别几乎涵盖了 Web 应用程序的所有问题。这是 10 个问题的列表,但是如果您深入挖掘,您将了解其背后的分类。