OWASP-前言

为啥要写

OWASP这个组织成员大多都是应用层安全的大佬，所以提出的很多应用层安全体系都被封为业内的标准。

安全服务难免要跟落地的应用层安全打交道，而且应用层安全对于安服块向来是占比较大，所以很有必要对OWASP整个安全TOP10所有的细枝末节吃一遍。

网上很多关于OWASP TOP10的文章，要么仅仅是13年和17年的简单对比，要么是某一个比如注入、XXE等等的专题介绍。而OWASP官方提供的TOP10虽然很好很全面，但是对某些细节的技术点确是一笔带过。

个人观点

个人觉得对于某些漏洞，需要深入了解，但是也不需要深入，似乎听起来很矛盾。

举个例子，对于XSS漏洞，我们需要深度了解构成原理，某些HTML语言的特性，浏览器解析顺序，绕过、利用方式。但是我们不需要去深入了解所有的变形、各种各样的利用方式、CSP等，我们仅仅需要知道，了解即可。因为其一会局限我们的思维，其二是可能会带到一个牛角尖和一个新的领域去了。