OWASP - Топ-10 OWASP - 2017 Десять самых критичных угроз безопасности веб-приложений

Топ-10 OWASP - 2017
Десять самых критичных угроз безопасности
веб-приложений

https://owasp.org

Данная работа выпущена под лицензией
Creative Commons Attribution-ShareAlike 4.0 International License

С

1

Содержание
Об OWASP

Содержание
С - Об OWASP …………………………………………………………… 1
П - Предисловие …………………………………………......……… 2
В - Введение ………..……………….……..…………………………… 3
ЧН - Что нового ….………………………………………………………… 4
Угрозы - Угрозы безопасности приложений…………… 5
Т10 - Топ-10 угроз безопасности приложений
OWASP – 2017…………………………………………………….. 6
A1:2017 - Внедрение ……..……………………………………..……………… 7
A2:2017 - Недостатки аутентификации ……………………… 8
A3:2017 - Разглашение конфиденциальных данных. 9
A4:2017 - Внешние сущности XML (XXE) ………………… 10
A5:2017 - Недостатки контроля доступа …………………… 11
A6:2017 - Некорректная настройка параметров
12
безопасности………………….……………………………………………………………
A7:2017 - Межсайтовое выполнение сценариев
13
(XSS)………………………………………………………………………………………………….
A8:2017 - Небезопасная десериализация………………… 14
A9:2017 - Использование компонентов с
известными уязвимостями .………………………………………………… 15
A10:2017 - Недостатки журналирования и
16
мониторинга……………………………………………………………………….…..…..
+Р - Что делать разработчикам…………………..….… 17
+Т - Что делать тестировщикам…………………….…… 18
+О - Что делать организациям……………………….…… 19
+М - Что делать менеджерам приложений..... 20

+У - Об угрозах……………………………………………………………… 21
+ФР - О факторах риска……………………………………………… 22
+МД - Методология и данные…………………………..…..… 23
+Б - Благодарности……………………………………………………. 24

Открытый проект по обеспечению безопасности вебприложений (OWASP) — это открытое сообщество,
позволяющее организациям разрабатывать, приобретать и
поддерживать безопасные приложения и интерфейсы
прикладного программирования (API).
OWASP бесплатно и в открытом доступе предлагает:
• стандарты и инструменты для обеспечения безопасности
приложений;
• полные версии книг по тестированию безопасности
приложений, разработке безопасного кода, а также оценке
безопасности кода;
• презентации и видео;
• памятки по большинству распространенных вопросов;
• стандартные требования к безопасности и библиотеки;
• локальные отделения по всему миру;
• передовые исследования;
• крупные конференции по всему миру;
• списки рассылок.
Более подробная информация доступна на сайте:
https://www.owasp.org.
Все инструменты, документы, видео, презентации и отделения
OWASP являются бесплатными и открытыми для тех, кто
заинтересован в улучшении безопасности приложений.
Фонд выступает за подход к безопасности приложений с точки
зрения проблемы людей, процессов и технологий, поскольку для
наиболее эффективного обеспечения безопасности приложений
требуются улучшения во всех этих областях.
OWASP представляет собой новый тип организации. Наша
независимость от коммерческого влияния позволяет нам
предоставлять беспристрастные, практические и эффективные
данные по безопасности приложений.
OWASP не связан ни с одной технологической компанией, хотя
поддерживает использование технологий промышленной
безопасности. OWASP выпускает большое количество
материалов, действуя прозрачно и открыто, а также всегда готов к
сотрудничеству.
Фонд OWASP является некоммерческой организацией, что
обеспечивает проекту долгосрочный успех. Почти все связанные с
OWASP люди являются добровольцами, включая членов совета
OWASP, руководителей отделений и проектов, а также участников
проекта.
Мы поддерживаем инновационные исследования в области
безопасности, предоставляя гранты и инф раструктуру.
Присоединяйтесь к нам!

Авторские права и Лицензирование
Авторские права © 2003 - 2017 Фонд OWASP
Документ выпущен под лицензией Creative Commons Attribution Share-Alike 4.0.
В случае переиспользования или распространения данного документа необходимо
указывать условия лицензионного соглашения, действующие в его отношении.

П

Предисловие

2

Предисловие
Ненадежное программное обеспечение подрывает безопасность критических инфраструктур, относящихся,
например, к здравоохранению, обороне, энергетике или финансам. Программное обеспечение становится сложнее,
устройств, --">