OWAP Top 10

最新推荐文章于 2022-12-20 15:29:25 发布
最新推荐文章于 2022-12-20 15:29:25 发布
阅读量1.2w 收藏
点赞数
分类专栏: Web Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/china_zoujinyong/article/details/40984441
版权

2013 Top 10 List

 

A1-Injection

Injection flaws, such as SQL, OS, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.


A2-Broken Authentication and Session Management

Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities.


A3-Cross-Site Scripting (XSS)

XSS flaws occur whenever an application takes untrusted data and sends it to a web browser without proper validation or escaping. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites.


A4-Insecure Direct Object References

A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, or database key. Without an access control check or other protection, attackers can manipulate these references to access unauthorized data.


A5-Security Misconfiguration

Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. Secure settings should be defined, implemented, and maintained, as defaults are often insecure. Additionally, software should be kept up to date.


A6-Sensitive Data Exposure

Many web applications do not properly protect sensitive data, such as credit cards, tax IDs, and authentication credentials. Attackers may steal or modify such weakly protected data to conduct credit card fraud, identity theft, or other crimes. Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser.


A7-Missing Function Level Access Control

Most web applications verify function level access rights before making that functionality visible in the UI. However, applications need to perform the same access control checks on the server when each function is accessed. If requests are not verified, attackers will be able to forge requests in order to access functionality without proper authorization.


A8-Cross-Site Request Forgery (CSRF)

A CSRF attack forces a logged-on victim’s browser to send a forged HTTP request, including the victim’s session cookie and any other automatically included authentication information, to a vulnerable web application. This allows the attacker to force the victim’s browser to generate requests the vulnerable application thinks are legitimate requests from the victim.


A9-Using Components with Known Vulnerabilities

Components, such as libraries, frameworks, and other software modules, almost always run with full privileges. If a vulnerable component is exploited, such an attack can facilitate serious data loss or server takeover. Applications using components with known vulnerabilities may undermine application defenses and enable a range of possible attacks and impacts.


A10-Unvalidated Redirects and Forwards

Web applications frequently redirect and forward users to other pages and websites, and use untrusted data to determine the destination pages. Without proper validation, attackers can redirect victims to phishing or malware sites, or use forwards to access unauthorized pages.

A1注入 
注入攻击漏洞,例如SQL,OS以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或
者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,
以执行计划外的命令或者在未被恰当授权时访问数据。
A2–失效的身份认证和会话管理
与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破
坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。
A3–跨站脚本(XSS) 
当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送
给一个网页浏览器,这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览
器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。
A4 不安全的直接对象引用
•当开发人员暴露一个对内部实现对象的引用时,例如,一个文件、目录或者数据库密匙,
就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控
这些引用去访问未授权数据。
A5 安全配置错误
好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义
和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这
些设置。这包含了对所有的软件保持及时地更新,包括所有应用程序的库文件。
A6 敏感信息泄漏
许多Web应用程序没有正确保护敏感数据,如信用卡,税务ID和身份验证凭据。攻击者可能
会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。敏感数据值
需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预
防措施。
A7 功能级访问控制缺失
•大多数Web应用程序在功能在UI中可见以前,验证功能级别的访问权限。但是,应用程序需
要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击
者能够伪造请求以在未经适当授权时访问功能。
A8 跨站请求伪造 (CSRF)
一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie
和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器
向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。
A9 使用含有已知漏洞的组件
组件,比如:库文件、框架和其它软件模块,几乎总是以全部的权限运行。如果一个带有
漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用
带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。
A10 未验证的重定向和转发
Web应用程序经常将用户重定向和转发到其他网页和网站,并且利用不可信的数据去判定
目的页面。如果没有得到适当验证,攻击者可以重定向受害用户到钓鱼软件或恶意网站,
或者使用转发去访问未授权的页面。










一起来玩玩呗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
owap-zap之截断代理
高毅的博客
12-25 2136
以下简称zap。 zap启动后,会默认启动8080端口监听。 打开kali中的Firefox,安装autoproxy 插件, 安装完成后,会看到“福”,点击“首选项”-->“代理服务器”-->“编辑代理服务器”, 最后一个,8080, 最后,点击“福”,由红色变绿色,表示此时浏览器发出的请求都将经过zap。
渗透测试专家必备工具OWASP
wzj的博客
05-31 5112
OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。它应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大的。 OWASP扫描漏洞范围: 1—注入 2—失效的身份认证会话管理 3—跨站脚本、XSS 4—不安全的直接对象引用 5—安全配置错误 6—敏感信息泄漏 7—功能级访问控制缺失
OWASP——简介及认识
cas的无名博客
02-25 4万+
OWASP Top 10<2010,2013>
OWASP TOP 10 2019
lxy123_com的博客
03-10 695
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
OWASP—Top10(2021知识总结)
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
OWASP TOP 10 – 终极漏洞指南(2021)
琦彦
09-29 2万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
【渗透测试】OWASP TOP10
qq_48201589的博客
05-24 6182
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2218
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证和会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...
加了料的报错注入SQL
雨九九的小窝
10-25 326
地址: http://ctf5.shiyanbar.com/web/baocuo/index.php 参考资料:https://www.jianshu.com/p/95f18a32ec7b https://blog.csdn.net/he_and/article/details/80572740 源码中的有用信息: 要用post提交username和password,所以用burp 爆出当前...
2010年OWASP的前十大风险
qq_42092076的博客
07-23 364
开源Web应用安全项目( Open Web Application Security Project,OWASP)是个专注于讨论Web应用程序和代码开发安全与威胁的开放的社区组织。2010年,OWASP发布的(OWASPTop10安全报告》显示,2010年Web应用的前十大安全风险分别是注人式攻击、跨站点脚本攻击、错误的认证和会话管理、不安全的直接对象引用、跨站点伪造请求、不安全的配置管...
OWASP靶机安装
qq_43681802的博客
02-02 5426
渗透测试靶机系列–(webgoat安装) 文章目录渗透测试靶机系列--(webgoat安装)前言一、WEBGOAT是什么?二、安装步骤1.下载OWASP和vmware2.使用OWASP总结 前言 一、WEBGOAT是什么? WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
OWASP TOP 10
最新发布
weixin_59616219的博客
12-20 4710
OWASP TOP 10
OWASP Top 10 简单介绍
热门推荐
ST0new的博客
04-29 5万+
前言 最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象所以写一个博客记录一下 ,也希望可以为有相同需求的小伙伴提供好的资料,之后我会陆续更新相关的漏洞复现的博客,希望大家可以给我提出更好的建议。 版本:OWASP Top 10 2017 什么是OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进...
OWASP TOP 10概述
wang010366的专栏
09-29 8032
OWASP组织提出的前十大网络漏洞 A1-注入 A2-跨站脚本(XSS) A3-错误的认证和会话管理 A4-不安全的直接对象引用 A5-伪造跨站请求(CSRF) – Cross-Site Request ForgeryA7-限制远程访问失败 A8-未验证的重定向和传递 A9-不安全的加密存储 A10-不足的传输层保护XSS跨站脚本攻击过程最简单演示CSRF攻击介绍与实施 二
浅谈OWASP TOP 10
weixin_30590285的博客
04-17 1017
见好多招聘要求都包括top 10 ,今天就来总结一下,也为了自己加深记忆 TOP1-注入 简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,--os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子...
做网安必看的OWASP TOP 10(2021)最新榜单
weixin_55821558的博客
03-30 6772
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。 2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。 值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。 什么是OWASP Top 10 OWASP,全称“开放式We...
ESAPI学习笔记
peterxiaoq的专栏
06-14 1万+
ESAPI学习笔记      ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值