4.1.1 OWASP十大安全威胁
开放式WEB应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全技术PCI标准更将其列为必须采用有效措施进行针对性防范。
图1 2010年OWASP十大安全威胁
表1 2010 OWASP十大安全威胁原理介绍
4.1.2 CWE/SANS 25大危险编程错误
一般弱点列举(Common Weakness Enumeration CWE)是由美国国家安全局首先倡议的战略行动,该行动的组织最近发布了《2010年CWE/SANS最危险的程序设计错误(PDF)》一文,其中列举了作者认为最严重的25种代码错误,同时也是软件最容易受到攻击的点。OWASP Top 10,所关注的是WEB应用程序的安全风险,而CWE的Top 25的覆盖范围更广,包括著名的缓冲区溢出缺陷。CWE还为程序员提供了编写更安全的代码所需要的更详细的内容。
4.2 WEB应用漏洞规则库
我们经过多年WEB应用安全领域的研究,结合国内外优秀组织的经典总结、描述以及验证,建立起一套几乎涵盖所有可能带来安全威胁的WEB应用安全漏洞的丰富的WEB应用漏洞规则库,包括各个安全漏洞的产生原理、检测规则、可能危害、漏洞验证等等,通过自动化手段,对网络爬虫所获取到的网站页面进行逐一检测。随着安全漏洞的不断产生、攻击手段的不断演变,WEB应用漏洞规则库也不断获得充实和改进。
5. 模拟渗透测试—取证与深度评估
