10大Web应用安全威胁及防护建议（2021-2023年）

OWASP（Open Worldwide Application Security Project）是一家致力于应用安全威胁研究的非盈利机构。通过对超过20万个组织进行调研分析，该机构每三年左右就会发布一次《Web应用安全风险Top10》报告，这个报告已经成为全球企业开展Web应用安全防护时的重要参考。然而最近，卡巴斯基的一个安全研究小组却发现，OWASP 所给出的Web应用安全威胁排名，和其实际遵循黑盒、灰盒和白盒等应用程序风险评估方法实际测试后所得出的结论有着较大差异，组织应该根据威胁的潜在影响和可利用性，更灵活地评估自身Web应用安全威胁态势。在本次测试中，卡巴斯基的安全研究团队在2021年至2023年上线的Web应用程序安全评估样本中收集数据，其中近一半的应用程序（44%）用Java编写，其次是用NodeJS（17%）和PHP（12%）编写，有三分之一以上（39%）的应用程序使用了微服务架构。 ………………………………