最后更新于2023年6月20日星期二20:06:56 GMT
With the release of the new 2021 OWASP Top 10 late last year, OWASP对其无处不在的参考框架进行了一些基本的、有影响的更改. We published a high-level breakdown 接下来是对新的十大威胁的具体类型的深入分析.
但是问题仍然存在:如何将最新的OWASP Top 10应用到您的 application security program?
为了帮助回答这个问题,我们发布了OWASP 2021攻击模板和报告 InsightAppSec. 这个新功能可以帮助您使用OWASP更新的类别来通知和关注您的AppSec程序, 与开发团队密切合作,修复发现的漏洞, 并朝着实现遵从性的最佳实践前进.
Let’s take a closer look.
Find
在我们修复漏洞之前,我们需要找到它们,要做到这一点,我们需要扫描. We may know where to look, 但我们往往缺乏对行业趋势的专业知识和确定我们应该寻找的一般威胁情况所需的知识.
幸运的是,OWASP组织已经为我们完成了艰苦的工作. 新的InsightAppSec OWASP 2021攻击模板包括最新OWASP版本中定义的类别的所有相关攻击.
![](http://blog.xkj2011.com/content/images/2022/05/image2-3.png)
新的攻击模块使您能够利用最新版本的OWASP Top 10中的知识(即使只有很少或根本没有主题知识)来生成焦点, hopefully small, set of vulnerabilities. 哪些地方的安全和开发资源被过度利用且昂贵, 使用OWASP扫描模板可以确保我们关注正确的漏洞.
Fix
发现漏洞只是旅程的一部分. 如果您不能使您的开发团队修复漏洞, the entire exercise becomes academic.
这就是InsightAppSec以详细补救报告的形式提供指导的原因, 特别格式化为开发团队提供确认和修复漏洞所需的所有信息和工具.
![](http://blog.xkj2011.com/content/images/2022/05/image1-3.png)
The remediation report includes the Attack Replay 产品中发现的特性,允许开发人员通过重放用于识别漏洞的流量来快速轻松地验证漏洞.
![](http://blog.xkj2011.com/content/images/2022/05/image4-3.png)
Report
尽管OWASP不是一个遵从性标准, 审核员可能会认为列入前10名扫描是一种良好实践的意图, 因此,这意味着要遵守其他遵从性标准.
为了促进这一点,并使组织更容易展示良好的实践, InsightAppSec提供了一个OWASP报告,该报告自动将漏洞分组到相关的OWASP类别中,但也包括未发现漏洞的领域.
OWASP 2021报告为您提供了您成功解决的类别以及可能需要更多关注和关注的类别的出色概述, 为您提供可操作的信息,以推动您的安全计划向前发展.
![](http://blog.xkj2011.com/content/images/2022/05/image3-2.png)
通过利用OWASP的分析和信息,并在产品中提供工作流, InsightAppSec让您控制您的AppSec程序,从扫描到补救,使合适的人, at the right time, with the right information.
Additional reading:
- JSON中的XSS:现代应用程序的老派攻击
- 云原生应用程序保护(CNAPP):炒作背后的原因?
- Rapid7连续第二年在2022年魔力象限™应用程序安全测试中被评为远见者
- 让我们跳舞:InsightAppSec和tCell带来新的DevSecOps改进