OWASP 10要素增强Web应用程序安全（1）

我们将向大家介绍Open Web Application Security Project (开放式Web应用程序安全项目，OWASP) 10要素，以及OWASP建议大家在软件开发生命周期中应该嵌入的标准化方法。

商业风险
现在的企业都在向客户提供通过浏览器访问企业信息的功能，同时集成Web服务的应用程序也越来越多，这些都导致企业所面临的风险不断增加。这并不代表开发人员没有认真的对待程序开发工作，只是当Web应用程序的数量越来越多，其潜在的隐患也会越来越频繁的暴露在互联网下。根据OWASP的观点：

“当企业发布了一个Web应用程序，它们就是在邀请全球的网民向其发送HTTP请求。而攻击内容也可以随着这些正常的HTTP请求穿过防火墙，过滤系统，系统平台上的安全措施以及网络中的入侵检测系统，而不被企业所发现。这意味着企业的Web应用程序代码本身就是企业安全围墙的一部分。随着企业所采用的Web应用程序数量和复杂度的增加，企业的安全围墙将更多的暴露在网络中。”

目前，企业所开发的很多新应用程序都是Web应用程序。另外，Web服务也越来越频繁的被用来集成Web应用程序或与Web应用程序进行交互。所带来的问题就是，Web应用程序和服务的增长已经超越了程序开发人员所接受的安全培训以及安全意识的范围。

随着存在安全隐患的Web应用程序数量的增长，OWASP也总结出了Web应用程序的十大脆弱点。在这个10要素列表中，不但包括了Web应用程序的脆弱性介绍，还包括了OWASP的建议内容，帮助程序开发人员和企业尽量避免这些脆弱点给企业系统带来的风险。

OWASP 10要素中还包括了一个指南，帮助企业决定该如何向客户提供信息。比如联邦贸易委员会（FTC）就在2003年1月的商业案例文档中将这个列表作为了信息安全的参考内容。同年，FTC还将OWASP 10要素列表作为指控Guess公司没有尽力做好客户的信息安全保护工作的参考资料。

10要素列表
以下列表来自OWASP 10要素项目: (OWASP, 2006):