网络安全组织OWASP评出网站10大安全漏洞

　　1月14日消息，网络安全组织OWASP（开放网络应用安全计划）星期一（1月13日）发表了一篇23页的研究报告，例举了网站的10大漏洞。该报告认为，这些漏洞是破坏在线应用软件安全的主要根源。列出这些漏洞是要帮助开发人员和企业安全管理人员堵住可能让攻击者入侵他们的企业的漏洞。

　　这篇报告说，当一个组织建立一个网络应用时，他们邀请全世界向他们发出HTTP申请。攻击程序就隐藏在这些HTTP申请中，通过防火墙、过滤器、增强的平台不知不觉地入侵探测系统，因为这些入侵程序是隐藏在合法的HTTP申请中的。

　　这篇报告称，向服务器或电子商务服务器等其它企业内部网络发送信息的网站应该尽快对照这10大安全问题进行分析。

　　排在首位的安全漏洞是：网站在把信息传送给另一台服务器之前不确认这个信息是否合法。攻击者可以利用这个漏洞通过网络服务器发送旨在破坏后端应用软件的恶意代码。

　　另一个主要问题是不能强制性地限制用户的行为。许多攻击者用一个用户名登录，然后找到了访问系统中其它用户数据的方法。

　　其它主要问题还包括交叉网站脚本、缓存溢出和远程管理漏洞等等。安全专家认为，这个安全漏洞列表对于消费者和厂商都是非常重要的。这个报告将教育厂商避免出现同样的错误。