您位于: 首页 OWASP项目 OWASP无服务器应用安全风险TOP 10

OWASP无服务器应用安全风险TOP 10

欢迎来到 无服务器应用安全 的世界

OWASP无服务器应用安全风险TOP 10

OWASP Serverless Top 10 Project

 

中文版本贡献者
衷心感谢花费了大量时间为本项目中文报告做出贡献的贡献者:
项目牵头人:肖文棣(OWASP中国广东区域负责人,晨星资讯(深圳)有限公司安全架构师)、王颉(OWASP中国)
项目组成员:刘晓辉(晨星资讯)、李宇全(晨星资讯)、明敏(晨星资讯)、王斌(晨星资讯)(排名不分先后,按姓氏拼音排列)
由于项目组成员水平有限,存在的错误敬请指正。如有任何意见或建议,可联系我们。邮箱:project@owasp.org.cn。


重要提醒

 

本报告为初版,旨在帮助读者初步了解无服务器应用的安全风险。同时,本报告作为OWASP Serverless Top 10项目组面向OWASP全球社区和行业公开征求意见的基础,从而根据行业知识和公开的真实数据创建一个正式的OWASP无服务器应用安全风险Top 10报告。

文章结构

 

本报告基于2017年版的《OWASP Top 10》文档,对《OWASP Top 10》中的每个风险从以下六个方面进行审视:
* 针对无服务器应用,可能出现的新攻击向量;
* 为什么无服务应用容易受到此类攻击以及如何攻击;
* 对于云账户的业务影响;
* 预防和减轻此类风险或攻击的最佳实践和建议;
* 攻击案例场景,展示可能的漏洞和利用手法;
* 综合考虑该风险的攻击向量、安全弱点、影响、识别风险和减轻风险的能力,该风险在无服务器应用中是更高了、更低了还是相同?

征求意见

 

* 支持项目的相关漏洞数据;
* 对最终版OWASP无服务器应用Top 10项目中应列出内容的建议和投票,包括当前未列入此列表、但建议添加的任何风险;
*关于“如何预防”部分的建议;
* 任何应该引入参考的OWASP内部资料和外部资料。

致谢

项目赞助
我们要感谢Protego Labs在编写报告方面提供的帮助,以及对OWASP无服务器应用风险Top 10项目的支持。
个人贡献者
衷心感谢花费了大量时间为本项目初始报告项目做出贡献的个人贡献者:
Assaf Hefetz, Snyk
Erez Metula, AppSec Labs
Erez Yalon, Checkmarx
Frank M. Catucci, OWASP
Guy Bernhart-Magen, Intel
Hemed Gur Ary, OWASP
Jeff Williams, Contrast Security
Jim DelGrosso, Synopsys
Jochanan Sommerfeld, RDuck
Kobi Lechner, INFINIDAT
Limor Sylvie Kessem, IBM
Marcin Hoppe, Auth0
Mark Johnston, Google
感谢你们!
Tal Melamed
OWASP Serverless Top 10 Project Leader | Protego Labs安全研究主管