全面的 OWASP Top 10 参考资料,涵盖人工智能、网络、云和 DevOps 安全。
开发团队的实用资源。
点击各部分查看详情。
LLM 应用程序最关键的 10 个安全风险(附 Python 代码示例
人工智能代理系统最关键的 10 个安全风险(附 Python 代码示例
附 Python 代码示例的 10 个最关键的机器学习安全风险
10 个最关键的漏洞及缓解代码示例
附代码示例的 10 个最关键网络应用程序安全风险
以 Kubernetes/Terraform 为例,说明云原生应用最关键的 10 个安全风险
以 GitHub Actions/Jenkins 为例,说明 CI/CD 管道最关键的 10 个安全风险
附 YAML/Terraform/Helm 示例的 10 个最关键的 Kubernetes 安全风险
基本安全原则
只授予 API 访问所需的最低权限。实施基于角色的访问控制(RBAC)。
将身份验证、授权、输入验证、速率限制和日志监控结合起来,消除单点故障。
验证每个请求。即使是来自内部网络的访问也不要相信。
记录所有 API 访问,确保异常检测和审计跟踪。
本网站涵盖的 8 个 OWASP Top 10 类别中每个类别的最高优先级风险。
精心设计的输入会操纵 LLM 行为,通过直接或间接注入绕过指令或提取敏感数据。
LLM Top 10攻击者通过精心设计的输入操纵代理的目标,使其在多个步骤中追逐意外目标。
Agentic Top 10对抗性输入会导致 ML 模型做出错误预测,从而绕过检测系统和内容过滤器。
ML Top 10通过操作对象 ID,在未经授权的情况下访问其他用户的数据。最常出现的 API 漏洞。
API Top 10用户的行为超出了预期权限,导致数据在未经授权的情况下被泄露、修改或破坏。
Web App Top 10配置错误的云服务、容器和协调器是造成云原生漏洞的主要原因。
Cloud Top 10攻击者在没有适当审查或批准关卡的情况下通过管道推送恶意代码,从而绕过分支保护。
CI/CD Top 10以 root 身份运行的容器具有过高的权限和可写文件系统,会造成严重的攻击面。
K8s Top 10使用顶部导航菜单浏览各部分。对于新手,我们建议按以下顺序阅读:OWASP Top 10 → 身份验证与授权 → 速度限制。
本网站提供的信息用于提高安全意识和防御目的。禁止用于攻击目的。内容基于截至 2025 年的信息。