为啥要写
OWASP这个组织成员大多都是应用层安全的大佬,所以提出的很多应用层安全体系都被封为业内的标准。
安全服务难免要跟落地的应用层安全打交道,而且应用层安全对于安服块向来是占比较大,所以很有必要对OWASP整个安全TOP10所有的细枝末节吃一遍。
网上很多关于OWASP TOP10的文章,要么仅仅是13年和17年的简单对比,要么是某一个比如注入、XXE等等的专题介绍。而OWASP官方提供的TOP10虽然很好很全面,但是对某些细节的技术点确是一笔带过。
个人观点
个人觉得对于某些漏洞,需要深入了解,但是也不需要深入,似乎听起来很矛盾。
举个例子,对于XSS漏洞,我们需要深度了解构成原理,某些HTML语言的特性,浏览器解析顺序,绕过、利用方式。但是我们不需要去深入了解所有的变形、各种各样的利用方式、CSP等,我们仅仅需要知道,了解即可。因为其一会局限我们的思维,其二是可能会带到一个牛角尖和一个新的领域去了。
