Back to Details

ask-owasp-security-review

Compare original and translation side by side

🇺🇸

Original

English
🇨🇳

Translation

Chinese

OWASP Security Review Protocol

OWASP安全审查协议

<critical_constraints>

<critical_constraints>

  1. NO code execution or dynamic analysis.
  2. NO false positives. Only report with evidence.
  3. MUST map findings to OWASP Top 10.
  4. MUST provide 
    Severity
    , 
    Location
    , and 
    Remediation
    . </critical_constraints>
  1. 禁止代码执行或动态分析。
  2. 禁止误报。仅在有证据的情况下报告问题。
  3. 必须将检测结果映射到OWASP Top 10
  4. 必须提供
    Severity
    (严重程度)、
    Location
    (位置)和
    Remediation
    (修复方案)。 </critical_constraints>

<process>

<process>

  1. Context Analysis: Identify language/framework. Trace data flow (Source → Sink).
  2. <thinking> Vulnerability Scan:
    • Check input validation (Injection, Broken Access).
    • Check for hardcoded secrets (Cryptographic Failures).
    • Check logging (Logging Failures). </thinking>
  3. Report Generation: Format findings in Markdown Table. If none, state "No immediate risks found".
  4. <validation_gate>: Run validation script. Ensure no errors.
  5. Remediation: Provide corrected code for Critical/High issues.
</process>
  1. 上下文分析:识别语言/框架。追踪数据流(来源 → 输出端)。
  2. <thinking> 漏洞扫描:
    • 检查输入验证(注入、访问控制失效)。
    • 检查硬编码密钥(加密失败)。
    • 检查日志记录(日志记录失败)。 </thinking>
  3. 报告生成:以Markdown表格格式呈现检测结果。若无问题,说明“未发现直接风险”。
  4. <validation_gate>:运行验证脚本。确保无错误。
  5. 修复方案:为严重/高危问题提供修正后的代码。
</process>

<owasp_checklist>

<owasp_checklist>

  • A01 Broken Access: IDOR, path traversal.
  • A02 Crypto Failures: Weak keys/algos.
  • A03 Injection: SQLi, XSS, Command Injection.
  • A04 Insecure Design: No rate limiting.
  • A05 Misconfig: Default creds, verbose errors.
  • A06 Vulnerable Components: Old libs.
  • A07 Auth Failures: Weak passwords.
  • A08 Integrity: Insecure deserialization.
  • A09 Logging: Missing/PII logs.
  • A10 SSRF: Unvalidated URLs. </owasp_checklist>
  • A01 访问控制失效:IDOR(不安全的直接对象引用)、路径遍历。
  • A02 加密失败:弱密钥/算法。
  • A03 注入:SQL注入、XSS、命令注入。
  • A04 不安全设计:无速率限制。
  • A05 配置错误:默认凭据、详细错误信息。
  • A06 易受攻击的组件:旧版本库。
  • A07 身份验证失败:弱密码。
  • A08 完整性问题:不安全的反序列化。
  • A09 日志记录问题:缺失日志/包含个人可识别信息(PII)的日志。
  • A10 SSRF:未验证的URL。 </owasp_checklist>

<output_template>

<output_template>

Security Audit Results

安全审计结果

VulnOWASPSevLocDescFix
NameCatHighFile:10IssueFix
漏洞名称OWASP分类严重程度位置描述修复方案
名称类别文件:10问题描述修复方法

Summary

总结

[Risk assessment] </output_template>
[风险评估] </output_template>

<examples>

<examples>

See 
assets/examples.md
. </examples>
请查看
assets/examples.md
</examples>