2024 OWASP Top 10 基础设施安全风险.pdf

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

OWASPTop10基础设施安全风险2024OWASPTop10InfrastructureSecurityRisks

前言

本OWASP项目旨在提升人们对基础设施安全风险、威胁与漏洞的意识，并提供高质量的信息。基础设施

安全风险在信息安全领域中占据着至关重要的地位。在成功入侵系统后，这些漏洞往往是导致整个企业或

组织遭受重大安全破坏的主要因素。尽管这些威胁在网络攻击链中具有重要地位，但由于攻击来源往往是

内部而非外部，因此它们常被企业和组织忽视。企业和组织必须认识到，单纯的外部防护措施远远不足

够。如果攻击者能够突破或绕过外部防线（例如通过钓鱼攻击），并找到初步的突破点，那么完善的内部

防御机制就显得尤为关键。尤其是威胁检测与监控，它们能够及时发现内部攻击和潜在威胁。正是基于这

些考虑，我们启动了这一项目，旨在提供实用且高质量的信息，普及这些威胁的认知，从而加强全球企业

和组织的内部安全防护。

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

为进一步提升《OWASPTop10基础设施安全风险》的质量与影响力，我们诚邀您参与2024与2025年

度的开放数据征集活动。在此期间，您可以匿名或公开捐赠数据，贡献给本项目。我们将在2024和2025

年间收集并整理所有数据，进而为2026版本的发布做准备。通过这一方式，我们计划在发布《OWASP

Top10基础设施安全风险-2026版》时，使用更为全面的数据集，以进一步提升其质量与深度。

对于捐赠者与贡献者，我们将在相关项目页面上列出他们的名字作为赞助商（如愿意）。此外，我们还计

划对与基础设施安全风险相关的CVE（公共漏洞与暴露）和CWE（常见弱点枚举）进行深入研究。欲了

解更多详情或参与贡献，请访问我们的相关平台。/OWASP/www-project-top-

10-infrastructure-security-risks/blob/main/docs/2024/INT_2024-Open_Call_for_Data.md

1/22

OWASPTop10基础设施安全风险2024OWASPTop10InfrastructureSecurityRisks

Edition:2024Version:2024

项目负责人：NickLorenz、TimBarsch

贡献者：TobiasNeugebauer

中文版项目人员：张坤、刘畅，许天翔，陈殷

审核：陈殷

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

2/22

OWASPTop10基础设施安全风险2024OWASPTop10InfrastructureSecurityRisks

ISR01:2024_过时的软件

保持软件的及时更新至关重要。因为更新往往包含与安全相关的补丁，如果软件未能保持必威体育精装版状态，它可能

会存在已知的漏洞。这些漏洞通常是公开的，并且可以通过安全扫描工具轻松识别。不幸的是，许多企业和

终端用户未能定期更新其软件组件。缺乏有效的更新机制和管理，使得许多软件和底层系统随着时间推移

逐渐暴露于风险之中，且随着时间的延续，其危害性也日益加剧。

过时的软件可能引发各种不同的安全漏洞，涵盖从低风险的漏洞到可能导致整个系统被攻陷的严重问题。

软件系统中这些漏洞的严重性和数量因具体情况而异。通常，随着时间的推移，漏洞的数量和危害性会逐渐

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

增加，