OWASP 开放网络应用安全项目
Open Worldwide Application Security Project。 全球最有名的应用安全非营利组织。所有产出都免费开源。
最有名的产出
- OWASP Top 10 —— web 应用最高危的 10 类漏洞清单,3-4 年更新一版
- OWASP Top 10 for LLM —— 大模型应用的 Top 10(AI 时代新加的)
- ASVS(Application Security Verification Standard)—— 应用安全验证标准
- ZAP —— 开源 web 漏洞扫描器,跟商业产品打得平
OWASP Top 10(2021 版)节选
- Broken Access Control —— 授权失效
- Cryptographic Failures —— 加密用错
- Injection —— SQL injection 等
- Insecure Design —— 设计阶段就埋雷
- Security Misconfiguration —— 基线配置错
(完整 10 项见 owasp.org)
影响力
几乎每个 web 安全岗位的 JD 都要求 “familiar with OWASP Top 10”。 渗透测试报告通常会按 Top 10 分类。