OWASP Top Ten 2021 : 相关速查表

OWASP Top Ten 是面向开发人员和 Web 应用程序安全的标准认知文档。它代表了关于 Web 应用程序最关键安全风险的广泛共识。

本速查表将帮助 OWASP Top Ten 的用户识别哪些速查表与每个安全类别相对应。此映射基于 OWASP Top Ten 2021 版本。

A01:2021 – 失效的访问控制

• 授权备忘单
• 不安全直接对象引用预防备忘单
• 事务授权备忘单
• 跨站请求伪造防御速查表

A02:2021 – 加密机制失效

• 加密存储备忘单
• 传输层安全备忘单
• HTTP 严格传输安全备忘单
• 秘密管理备忘单
• 密钥管理备忘单
• 证书锁定备忘单

A03:2021 – 注入

• 注入预防备忘单
• LDAP 注入防御速查表
• 操作系统命令注入防御备忘单
• Java 注入防御速查表
• SQL 注入预防备忘单
• 查询参数化备忘单
• 跨站脚本防御速查表
• 基于 DOM 的 XSS 防御速查表
• XSS 过滤器规避速查表
• 内容安全策略速查表

A04:2021 – 不安全的设计

• 威胁建模备忘单
• 滥用案例备忘单
• 攻击面分析备忘单

A05:2021 – 安全配置错误

• 基础设施即代码安全速查表
• XML 外部实体防御速查表
• PHP 配置速查表
• Docker 安全速查表

A06:2021 – 易受攻击和过时的组件

• 易受攻击的依赖管理备忘单
• 第三方 JavaScript 管理速查表
• npm 安全最佳实践

A07:2021 – 身份识别和认证失败

• 认证备忘单
• 会话管理备忘单
• 忘记密码速查表
• 选择和使用安全问题速查表
• 凭据填充预防备忘单
• 拒绝服务速查表
• Java JSON Web Token 速查表
• 多因素认证速查表
• 密码存储备忘单
• SAML 安全速查表

A08:2021 – 软件和数据完整性故障

• 反序列化备忘单

A09:2021 – 安全日志记录和监控故障

• 日志记录备忘单
• 应用程序日志记录词汇表速查表

A10:2021 – 服务器端请求伪造 (SSRF)

• 服务器端请求伪造防御速查表

A11:2021 – 后续步骤

• 拒绝服务速查表