OWASP Top 10 漏洞是應(yīng)用程序中 10 個最常見的安全漏洞的列表。十大 OWASP Web 應(yīng)用程序安全漏洞每 3-4 年更新一次。最后更新于 2017 年，列表中的漏洞包括：

• 注射
• 身份驗證損壞
• 敏感數(shù)據(jù)暴露
• XML 外部實體 (XXE)
• 損壞的訪問控制
• 安全配置錯誤
• 跨站腳本 (XSS)
• 不安全的反序列化
• 使用存在已知漏洞的組件
• 記錄和監(jiān)控不足

OWASP 十大漏洞有助于提高對網(wǎng)站和 Web 應(yīng)用程序面臨的最新威脅的認(rèn)識。組織和開發(fā)人員可以利用此列表來確保安全編碼、調(diào)整安全性并保持其安全態(tài)勢得到加強。在本文中，我們?yōu)槟峁┝?10 個強大的技巧，以保護您的應(yīng)用程序免受 OWASP Top 10 的影響。

防止 OWASP 十大漏洞的十大技巧

#1 采取零信任的安全方法

零信任方法認(rèn)為組織必須“從不信任并始終驗證”而不是“信任，但要驗證”。這種方法使組織能夠通過分析所涉及的安全漏洞來最小化與 Web 應(yīng)用程序相關(guān)的風(fēng)險。無論是用戶、員工、供應(yīng)商還是第三方服務(wù)提供商，都必須采用零信任方法。這有助于防止大多數(shù)OWASP 十大漏洞，包括暴力攻擊、XSS 攻擊、注入等。

#2 使用下一代、直觀和托管的 Web 應(yīng)用程序防火墻 (WAF)

下一代、直觀和托管?的 WAF （例如 AppTrana 的 WAF）使組織能夠防止漏洞被利用。它監(jiān)控流量并自動阻止惡意請求。它使用虛擬補丁來覆蓋漏洞，直到開發(fā)人員修復(fù)它們。

#3 實施強密碼策略和多因素身份驗證

為了緩解損壞的身份驗證漏洞，實施強密碼策略和多因素身份驗證至關(guān)重要。

• 切勿部署默認(rèn)憑據(jù)，尤其是對于管理員帳戶。
• 使用字母數(shù)字和特殊字符的組合來強制使用強且唯一的密碼。
• 不要在本地存儲密碼。
• 僅在安全和加密的連接上發(fā)送密碼。

#4 加密所有敏感數(shù)據(jù)

無論是在傳輸中還是在靜止時，請確保所有敏感數(shù)據(jù)都已加密。不要在設(shè)備中存儲敏感數(shù)據(jù)；將其存儲在不用于托管公共網(wǎng)站的安全服務(wù)器中。加密用于訪問機密數(shù)據(jù)的密碼。確保僅在手頭工作需要時才保留敏感數(shù)據(jù)。對于傳輸中的數(shù)據(jù)，請利用來自受信任的證書頒發(fā)機構(gòu) (CA) 的 SSL 證書。SSL 證書對服務(wù)器和瀏覽器之間的所有通信和數(shù)據(jù)交換進行加密。

#5 建立適當(dāng)?shù)脑L問控制

建立基于角色的訪問控制對于防止 OWASP Web 應(yīng)用程序安全漏洞至關(guān)重要。在授權(quán)和權(quán)限方面采用最低權(quán)限的方法，每個角色僅獲得完成其工作所需的最低級別的訪問權(quán)限。對于每個請求，后端進程都必須驗證傳入的標(biāo)識符，以確保只有授權(quán)實體才能訪問數(shù)據(jù)。刪除不再使用的帳戶。如果有多個接入點，請禁用不需要的接入點。關(guān)閉不必要的服務(wù)并保持服務(wù)器精簡。

#6 輸入驗證很關(guān)鍵

驗證所有用戶輸入（查詢表單、查詢參數(shù)、上傳等）是必須的。輸入驗證有助于確保應(yīng)用程序上的任何數(shù)據(jù)輸入都不是格式錯誤/惡意的。防范 OWASP Web 應(yīng)用程序漏洞（例如 SQL 注入、XXE 注入、XSS、緩沖區(qū)溢出等）至關(guān)重要。

#7 保持高標(biāo)準(zhǔn)的網(wǎng)絡(luò)衛(wèi)生

• 不要忽略更新。
• 僅使用來自可靠且經(jīng)過驗證的來源的組件和軟件。
• 從應(yīng)用程序中清除不需要的、未使用的和遺留功能、服務(wù)、組件和軟件。

#8 建立有效的日志記錄和監(jiān)控

利用日志記錄和審計軟件來監(jiān)控和檢測惡意活動。即使檢測到的攻擊失敗，日志記錄和監(jiān)控也能提供關(guān)于攻擊來源和向量的寶貴見解。此外，它們還可用于分析如何通過強化安全策略來防止未來的入侵。

#9 定期掃描、審計和滲透測試 ?

定期掃描、安全審計和滲透測試是必要的。它們有助于持續(xù)識別 OWASP 十大安全漏洞及其他漏洞，了解它們的可利用性，根據(jù)附加的風(fēng)險確定優(yōu)先級并進行補救。

#10 遵循安全編碼實踐

固有的不安全代碼將導(dǎo)致應(yīng)用程序安全性較弱。遵循安全編碼實踐對于組織來說是必不可少的。額外提示：更新您的知識并不斷教育所有用戶。

結(jié)論

OWASP 十大漏洞列表是培養(yǎng)安全開發(fā)和使用 Web 應(yīng)用程序的文化的一個很好的起點。請記住，這些并不是唯一的漏洞，僅保護這些漏洞不會自動導(dǎo)致完全安全。選擇AppTrana等直觀、全面和托管的解決方案來強化安全態(tài)勢。