OWASP Top 10 是 Open Web Application Security Project 发布的 Web 应用最严重的 10 类安全风险排名,是安全测试的"必修课"和行业基准——知道这 10 类漏洞,就能覆盖 Web 应用中 80% 以上的常见安全缺陷。
| 排名 | 风险类别 | 中文名称 | 变化 |
|---|---|---|---|
| A01 | Broken Access Control | 访问控制失效 | ⬆ 从第5升至第1 |
| A02 | Cryptographic Failures | 加密机制失效 | 原名敏感信息泄露 |
| A03 | Injection | 注入攻击 | ⬇ 从第1降至第3 |
| A04 | Insecure Design | 不安全设计 | 🆕 新增类别 |
| A05 | Security Misconfiguration | 安全配置错误 | — 合并 |
| A06 | Vulnerable & Outdated Components | 脆弱过时组件 | — 原第9 |
| A07 | Identification & Authentication Failures | 身份认证失效 | — 原第2 |
| A08 | Software & Data Integrity Failures | 软件数据完整性失效 | 🆕 新增 |
| A09 | Security Logging & Monitoring Failures | 安全日志监控失效 | — 原第10 |
| A10 | Server-Side Request Forgery (SSRF) | 服务端请求伪造 | 🆕 新增 |
操作:登录 OWASP 官网查看 Top 10 详情页,对照自家系统的安全测试用例清单,检查覆盖率
指标:测试用例对 Top 10 的覆盖数量(目标≥8/10)
操作:使用 ZAP 对被测系统进行一次基线扫描,比对扫描结果与 OWASP Top 10 的映射关系
工具:OWASP ZAP(免费开源)
指标:高/中危告警数、Top 10 类别覆盖率
操作:将 OWASP Top 10 映射到企业业务场景,创建风险矩阵(影响×可能性),确定测试优先级
评估指标:风险矩阵完备度、测试优先级排序合理性
OWASP Top 10:2021 - PDF 中文版 可通过 OWASP 官网下载