OWASP

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。　开放式Web应用程序安全项目（OWASP）是一个非营利组织，不附属于任何企业或财团。因此，由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用，它有一个论坛，在论坛里信息技术专业人员可以发表和传授专业知识和技能。

OWASP(开放Web软体安全项目- Open Web Application Security Project)目前全球有130个分会近万名会员，其主要目标是研议协助解决Web软体安全之标准、工具与技术文件，长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广，网页应用安全已经逐渐的受到重视，并渐渐成为在安全领域的一个热门话 题，在此同时，骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务，国际信用卡资料安全 技术PCI标准更将其列...

为了更好的促进OWASP中国各区域的沙龙、 活动能够持续、稳定的进行，OWASP中国特成立的各区域小组，主要为了促进小范围内的交流和分享。同时，也非常欢迎大家自荐成为自己所在区域的负责人。 OWASP中国项目研究组以目前OWASP的开源项目为基础，深入研究各类应用安全技术，并输出相关中文资料、培训文档、安全工具等。同时，也会不定期的 在各区域的活动上做相关培训。

 

OWASP “2010十大安全隐患”

 

A1 – 注入 (Injection)
A2 – 跨站脚本 (Cross Site Scripting (XSS))
A3 – 无效的验证和会话管理 (Broken Authentication and Session Management)
A4 – 对资源不安全的直接引用 (Insecure Direct Object References)
A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))
A6 – 错误的安全配置 (Security Misconfiguration) (新加入)
A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)
A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards) (新加入)
A9 – 不安全的密码存储 (Insecure Cryptographic Storage)
A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)