OWASP的资源十分丰富，下面只能对其主要的一些资源进行介绍。OWASP的资源可以分为文档、工具两类。

　　OWASP最有名的文档是2007年开始发布的10大最严重Web应用安全漏洞(The Ten Most Critical Web Application Security Vulnerabilities)，这是一份动态更新的漏洞列表，OWASP会根据新的安全趋势不断对其进行修订。

　　最新十大漏洞是：

　　1. Cross-Site Scripting：跨站脚本攻击。Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可撷取使用者的Cookie或Session资料而能直接登录成使用者。这是目前最严重的Web应用安全漏洞形式。
　　2. Injection Flaw：Web应用程序执行来自外部包括数据库在内的恶意指令，包括SQL Injection, Command Injection等多种形式攻击。
　　3. Malicious File Execution：Web应用程序引入来自外部的恶意文件并执行文件内容 。
　　4. Insecure Direct Object Reference：攻击者利用Web应用程序本身的文件读取功能任意存取文件或重要信息，案例包括http://example /read.php?file=../../../ ../../../../c:\boot.ini。
　　5. Cross-Site Request Forgery (CSRF):已登录Web应用程序的合法用户执行到恶意的HTTP指令，但Web应用程序却当成合法需求处理，使得恶意指令被正常执行，案例包括社交网站分享的QuickTime、Flash影片中藏有恶意的HTTP请求。
　　6. Information Leakage and Improper Error Handling：Web应用程序执行错误的讯息中包含敏感资料，案例包括:系统文件路径。
　　7. Broken Authentication and Session Management：Web应用程序中自行撰写的身份验证相关功能有缺陷。
　　8. Insecure Cryptographic Storage：Web应用程序没有对敏感性资料使用加密、使用较弱的加密算法或将密钥储存于容易被取得之处。
　　9. Insecure Communication：没有在传送敏感性资料时使用HTTPS或其他加密方式。
　　10. Failure to Restrict URL Access：某些网页因为没有权限控制，使得攻击者可透过网址直接存取，案例包括允许直接修改Wiki或Blog网页内容。

　　这十大漏洞为Web应用的开发人员、设计人员、架构人员以及开发组织提供了一个最基本的安全工具。在此基础上，OWASP开展了一项名为“四大文档”(Big 4 Document)的项目，其中包含了更详细的安全指南。四大文档包括三份指南和一份索引，分别是：网站构建指南(Building Guild)、代码审查指南(Code Review Guild)、测试指南(Test Guild)和应用安全桌面索引(Application Security Desktop Reference)。每一份指南和ASDR详细讨论了各类Web应用安全问题。这些指南已经不仅仅是OWASP的一份开源资料，更被很多组织采纳为自己的安全标准的内容。

　　随着这3年来的努力推广，美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则，美国国防部也将其指南和索引手册列为最佳实践指导，最近国际信用卡资料安全技术PCI标准更将其列为符合PCI标准的必要检测项目。

　　实用的工具

　　OWASP开展了数以百计的项目，这些项目产生了很多实用的工具。其中最有名的工具是WebGoat和WebScarab。

　　WebGoat是一个故意被设计为不安全的基于J2EE的Web应用程序，OWASP希望通过WebGoat来实现Web应用安全的教学过程。在教学的每一课中，用户必须通过对相关安全问题的理解来攻击WebGoat应用中实际存在的漏洞，例如通过SQL注入漏洞来窃取仿造的信用卡号码。WebGoat在提供真实的教学环境同时，还提供提示信息和代码以帮助用户深入理解安全课程的内容。

　　WebScarab是一个用Java实现的分析HTTP和HTTPS协议通讯过程的框架。WebScarab包括很多的插件，可以作为一个具有解释能力的代理，允许管理员检查和修改浏览器发往Web应用服务器的请求和Web应用服务器返回给浏览器的信息。WebScarab可以用于Web安全问题的分析和调试，WebGoat的一些教学内容也需要WebScarab的配合来实现。

　　中国的参与

　　中国目前也建立了多个OWASP的分会，包括中国分会(大陆)、香港分会和台湾分会。其中在中国大陆的分会又由北京、上海和深圳三个分会组成。从活动而言，台湾分会是其中最活跃的一支分会，这几年的OWASP AppSec亚洲年会都是由台湾分会来主持和举办。

　　(作者单位为东南大学计算机科学与工程学院)

　　来源：《中国教育网络》2009年4月刊