提高 Web 应用程序安全性的标准

news2024/11/24 22:46:57

开放式 Web 应用程序安全项目 (OWASP) 是一个国际非营利组织,致力于为任何有兴趣提高 Web 应用程序安全性的人提供免费文档、工具、视频和论坛。

OWASP 最初成立为开放式 Web 应用程序安全项目,并于 2004 年注册为非营利性慈善机构,提供有关最佳实践的公正建议并推动开放标准的创建。

如今,OWASP 致力于帮助开发人员编写更好的软件,并让安全专业人员能够提高软件的安全性,认识到企业应用程序是企业数字运营的关键基础设施。

从面向客户的电子商务平台到管理财务和客户关系的内部工具,这些应用程序是运营效率和成功的关键。

对应用程序的依赖性增加意味着公司将应用程序推向市场的速度至关重要。快速部署使企业能够快速响应市场需求,利用新兴趋势,并抢在竞争对手之前满足客户期望。

然而,急于推出应用程序可能会带来大量安全漏洞。开发人员可能会为了赶上最后期限而牺牲安全编码实践,导致密码等敏感用户数据暴露在外,容易受到黑客攻击。

更糟糕的是,开发周期缩短往往意味着进行全面安全测试的时间减少。这意味着严重缺陷可能在应用程序发布后才被发现,用户下载后就会面临风险。

这就是 OWASP 的作用所在。

最常见的数据泄露事件与应用程序安全性不足有关

根据的“ 2024 年应用程序安全状况报告”,2023 年十大数据泄露事件中有八起与应用程序攻击面有关。

报告指出:“仅这八起泄密事件就估计暴露了约 17 亿条记录。暴露的记录数量惊人,这证明应用程序安全性的现状还不够。”

问题在于,要找到公正的建议和实用的信息来帮助公司开发应用程序安全 (AppSec) 程序可能具有挑战性,尤其是在开源软件存储库带来的挑战和风险日益增加的情况下。

这是因为竞争激烈的技术和服务市场通常会推广特定的工具或供应商。

为了解决这个问题,OWASP 基金会于 2001 年成立。

OWASP 的最初目标是创建一个平台,让安全专家可以分享知识、工具和最佳实践,以提高 Web 应用程序的安全性。

随着网络从业者争相提升自己在人工智能(AI)安全方面的技能,并且他们的组织迅速采用AI工具、平台、应用程序和服务,行业中出现了各种资源来帮助从业者应对不断变化的形势。

其中最有用的一个是OWASP AI Exchange。OWASP越来越多地将自己定位为 AI 安全知识的首选资源,包括在 2023 年发布 OWASP LLM 十大榜单,其中记录了 LLM 系统的十大风险以及如何减轻这些风险的建议。

OWASP AI Exchange 是一项开源协作项目,旨在推动全球 AI 安全标准、法规和知识的开发和共享。它涵盖 AI 威胁、漏洞和控制。

以下是一些主要的 AppSec 挑战:

根据报告,受访者列出了以下最大的应用程序安全挑战:

更频繁的部署意味着需要管理更多的语言。每天至少部署一次应用程序的公司使用五种以上的编程语言。

团队使用手动流程来清点和分类应用程序和 API。74% 的团队依赖文档,68% 的团队依赖电子表格。

只有 54% 的重大代码变更经过了全面的安全审查。 22% 的受访者表示,他们仅审查了 24% 或更少的代码变更。

传统的安全审查耗时费力。在接受调查的 400 名安全专家中,81% 表示安全审查耗时超过一个工作日,35% 表示安全审查耗时超过三个工作日。CrowdStrike 估计,安全审查的年度成本略高于 1,167,000 美元。

安全团队正在使用多种工具。 90% 的团队使用三种以上的工具来检测和确定应用程序漏洞和威胁的优先级。

确定首先要修复的问题的优先级是最大的挑战。61% 的 AppSec 专业人士表示,这是他们与开发人员合作时面临的最大挑战。

补救措施很慢。受访者表示,70%的关键问题至少需要12个小时才能解决。

OWASP Top 10 为开发人员设定安全标准

OWASP 以其十大安全风险而闻名,这是一份面向开发人员和 Web 应用程序安全人员的标准意识文档,介绍了 Web 应用程序面临的最关键安全风险。

十大安全风险可以帮助应对 AppSec 挑战。

该名单上次更新时间为 2021 年,下一份名单将于 2025 年发布。

十大安全原则被广泛用作非正式标准,如果您刚刚开始挑战应用程序安全性的基础知识,那么这是一个很好的起点。

它告诉您不要做什么,而不是应该做什么。人们喜欢它,因为它是十大安全原则。

在确定应用程序安全的基本框架,但太多组织认为一旦解决了这些安全问题,他们就已经取得了成功,但并没有从此走向成熟。

2021 年 OWASP Top 10 如下:

1. 访问控制失效:这意味着应用没有适当限制对敏感信息或功能的访问。不良行为者可以利用这些漏洞访问未经授权的数据和功能,或执行他们不应该执行的操作。常见原因包括不安全的直接对象引用、特权提升漏洞和不当的访问控制列表。

2. 加密故障:这指的是数据加密或解密过程中的弱点。弱加密算法、将同一密钥用于多种用途或密钥存储不安全都可能暴露敏感数据。因此,攻击者可能会窃取用户名和密码、财务信息或其他敏感数据。

3. 注入:攻击者将恶意代码注入用户输入,并由应用程序解释。一个例子是 SQL 注入,攻击者注入 SQL 代码来操纵数据库。

4. 不安全的设计:这指的是从开发过程一开始就没有考虑安全性的应用程序。从一开始就没有实施适当的身份验证、授权、输入验证和其他安全措施,使应用程序容易受到攻击。此类别强调了在应用程序的整个生命周期中构建安全性的重要性。

5. 安全配置错误:有时,即使是安全的应用程序也会因为配置不当而变得脆弱。不更改默认密码、保持不必要的服务运行或在服务器或软件组件上使用不安全的设置,都会造成安全漏洞,攻击者很容易利用这些漏洞。

6. 易受攻击和过时的组件:使用具有已知安全漏洞的库、框架或其他组件会带来风险,因为攻击者可以利用这些已知问题来访问应用程序。这就是为什么使用最新的安全补丁更新组件至关重要。

7. 身份识别和认证失败:弱登录系统、容易被猜到的密码、不使用多因素认证以及不安全的会话管理都属于此类。攻击者可以利用这些弱点冒充合法用户或获得未经授权的访问权限。

8. 软件和数据完整性故障:此类别侧重于保护代码和数据免遭未经授权的修改。恶意行为者可以利用漏洞篡改代码执行或修改存储的数据,从而导致安全漏洞。

9. 安全日志和监控失败:日志和安全监控不足会造成盲点,使得识别入侵企图或异常系统活动变得困难。这可以使攻击者在较长时间内不被发现。

10. 服务器端请求伪造:恶意攻击者可利用此漏洞操纵服务器。服务器不会访问预期的资源,而是在不知情的情况下向外部系统发出未经授权的请求,从而可能危及敏感数据。

攻击者可利用此漏洞窃取数据、攻击其他系统或在服务器本身上执行未经授权的操作。

OWASP Top 10 很重要,因为它提供了一种通用语言,让安全人员可以快速了解他们应该担心什么。

将这些信息传达给组织中的其他人,例如开发人员或云架构师。

OWASP Top 10 提供了某些内容被列入名单的原因、为什么会出现问题以及公司可以采取哪些措施来修复这些问题的背景信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2086907.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

杰发科技AC7840——EEP的EEP_HAL_OTHER_ERROR错误

0. 初始化EEP时候发现返回5 在EEP使用手册里面有写答案 2. 根据文档看看EEP初始化的参数 2. 从代码看看EEP初始化流程 对EepSize进行校验,有异常直接退出 最小编程字节数,用的挺多的 重复次数赋值,看起来每个都要尝试3次 EEP的地址赋值 解锁…

嵌入式Linux应用程序开发-2 Linux基础命令

Linux常用命令 Shell是一种Linux中的命令行解释程序,就如同Command.com是DOS下的命令解释程序一样,为用户提供使用操作系统的接口。用户在提示符下输入的命令都由Shell先解释然后传给Linux内核。 Shell是命令语言、命令解释程序集程序设计语言的统称。…

macos USB外接键盘ctrl键绑定方法 解决外接USB键盘与mac键盘不一致问题

mac电脑外接USB键盘后我们需要修改一下 ctrl键的绑定后才符合我们的使用习惯,因为标准USB键盘和mac键盘上面的ctrl键是不一样的, mac上面的 command 键 对应我们USB键盘上面的 ctrl 键. 修改方法: 偏好设置 --> 键盘 点击修饰键 后 选择键盘里面选择 USB键盘 ,然后调换…

C++领进门(第三讲)

目录 7.内联函数 7.1 概念 7.2 特征 8. auto关键字(C11) 8.1 auto简介 8.2 auto的使用细则 8.3 auto不能推导的场景 9. 基于范围的for循环(语法糖)(C11) 9.1 范围for的语法 9.2 范围for的使用条件 10. 指针空值nullptr(C11) 7.内联函数 7.1 概念 以inline修饰的函数…

折腾 Quickwit,Rust 编写的分布式搜索引擎 - 从不同的来源摄取数据

摄取 API 在这节教程中,我们将介绍如何使用 Ingest API 向 Quickwit 发送数据。 要跟随这节教程,您需要有一个本地的 Quickwit 实例正在运行。 https://quickwit.io/docs/get-started/installation 要启动它,请在终端中运行 ./quickwit run。…

Python | Leetcode Python题解之第382题链表随机节点

题目: 题解: class Solution:def __init__(self, head: Optional[ListNode]):self.head headdef getRandom(self) -> int:node, i, ans self.head, 1, 0while node:if randrange(i) 0: # 1/i 的概率选中(替换为答案)ans …

Git分支原理、操作及实际开发中如何规范使用分支

😀前言 在这篇博文中,我将与大家分享关于Git分支管理的内容。Git作为一个分布式版本控制系统,在协同开发和版本控制中扮演着至关重要的角色。通过这篇文章,您将深入了解Git分支的原理、操作以及在实际开发中如何规范使用分支。希望…

【数据结构】-----哈希

目录 一、哈希表概念 二、哈希函数 三、哈希冲突 Ⅰ、定义 Ⅱ、解决 ①闭散列--开放定址法 线性探测 二次线性探测 ②开散列--链地址法(哈希桶) 问题:哈希表何时扩容? 一、哈希表概念 哈希表又称散列表,它是一…

【河北航空-注册安全分析报告-无验证方式导致安全隐患】

前言 由于网站注册入口容易被黑客攻击,存在如下安全问题: 1. 暴力破解密码,造成用户信息泄露 2. 短信盗刷的安全问题,影响业务及导致用户投诉 3. 带来经济损失,尤其是后付费客户,风险巨大,造…

css的“id选择器“命名问题

项目场景&#xff1a; 工程里面&#xff0c;使用到了CSS的”id选择器"&#xff0c;想让某个p标签的元素发生改变 问题描述 为什么每个p标签的元素&#xff0c;都发生了改变 <!DOCTYPE html> <html lang"en"><head><meta charset"U…

mqtt的理解

1、emqx各个端口 1883是emqx服务端的监听端口&#xff0c;通俗的讲就是emqx服务端会一直监听有哪个客户端想要连接我&#xff0c;比如springboot的MqttClient类中设置了host "tcp://192.168.1.1:1883"&#xff0c;该springboot程序作为客户端要连接到emqx服务端&am…

20.神经网络 - 搭建小实战和 Sequential 的使用

神经网络 - 搭建小实战和 Sequential 的使用 在 PyTorch 中&#xff0c;Sequential 是一个容器&#xff08;container&#xff09;类&#xff0c;用于构建神经网络模型。它允许你按顺序&#xff08;sequential&#xff09;添加不同的网络层&#xff0c;并将它们串联在一起&…

【滑动窗口法解决子数组,子串问题】

前言 在leetCode题解中看到一位大佬针对滑动窗口法解决子数组&#xff0c;子串问题的总结&#xff0c;觉得总结的非常好&#xff0c;成功地将滑动窗口法变成了默写题&#xff0c;在这里学习记录一下。 适用于 76.最小覆盖子串 567.字符串的排列 438.找到字符串中所有字母异位词…

c++习题27-大整数减法

目录 一&#xff0c;题目 二&#xff0c;思路 三&#xff0c;代码 一&#xff0c;题目 输入 共2行&#xff0c;第1行是被减数a&#xff0c;第2行是减数b(a > b)。每个大整数不超过200位&#xff0c;不会有多余的前导零。 输出 一行&#xff0c;即所求的差。 样例输入1…

SpringBoot项目路由信息自动化提取脚本

文章目录 前言工具开发1.1 ChatGPT初探1.2 初版代码效果 WebGoat适配2.1 识别常量路由2.2 适配跨行定义 进阶功能优化3.1 识别请求类型3.2 识别上下文值 总结 前言 最近工作上遇到一个需求&#xff1a;提取 SpringBoot 项目中的所有路由信息&#xff0c;本来想着这是一个再普通…

【随笔】使用spring AI接入大语言模型

引言 随着人工智能的发展&#xff0c;越来越多的应用开始集成AI模型来增强用户体验。OpenAI提供的大语言模型是目前最受欢迎的自然语言处理模型之一&#xff0c;能够处理各种语言任务&#xff0c;如文本生成、对话理解等。在Java开发中&#xff0c;我们可以利用Spring AI框架轻…

android 离线的方式使用下载到本地的gradle

1、android studio在下载gradle的时候&#xff0c;特别慢&#xff0c;有的时候会下载不完的情况&#xff0c;这样我们就要离线使用了。 2、下载Gradle Gradle | Releases 或者 Releases gradle/gradle GitHub Gradle | Releases 这里我们下载8.10 complete版本&#xff0c…

Python GraphQL 库之graphene使用详解

概要 随着 Web 技术的发展,GraphQL 已成为 REST 的一种强有力替代方案,为客户端提供了更灵活的数据查询方式。Graphene 是一个用于构建 GraphQL API 的 Python 库,它使得开发者可以轻松地将复杂的数据模型暴露为 GraphQL API。通过 Graphene,开发者可以利用 Python 的面向…

【战略游戏】

题目 代码 #include <bits/stdc.h> using namespace std; const int N 1510, M N; int h[N], e[M], ne[M], idx; int f[N][2]; int n; bool st[N]; int root; void add(int a, int b) // 添加一条边a->b {e[idx] b, ne[idx] h[a], h[a] idx ; } void dfs(int …

Java设计模式之外观模式详细讲解和案例示范

1. 引言 在软件开发过程中&#xff0c;复杂的系统往往包含许多子系统和模块&#xff0c;随着系统功能的增加&#xff0c;模块之间的交互也变得更加复杂。这种复杂性可能会导致系统的可维护性和扩展性降低。外观模式&#xff08;Facade Pattern&#xff09;是一种结构型设计模式…