2024年网络安全最新OWASP Top 10 网络安全10大漏洞——A01:2024-访问控制中断

最新推荐文章于 2024-05-05 19:31:53 发布
最新推荐文章于 2024-05-05 19:31:53 发布
阅读量614 收藏 17
点赞数 7
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84265972/article/details/138425444
版权

10大Web应用程序安全风险

2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。
在这里插入图片描述

A01:2021-访问控制中断

从第五位上升到top1,94%的应用程序都经过了某种形式的访问控制破坏测试,平均发生率为 3.81%且在贡献的数据集中出现次数最多,超过 318k。映射到“破坏访问控制”的 34 个常见弱点枚举 (CWE) 在应用程序中的出现次数比任何其他类别都多。

已映射的CWE最大发生率平均发生率平均加权漏洞利用平均加权影响最大覆盖范围平均覆盖率总发生次数CVE 总数
3455.97%3.81%6.925.9394.55%47.72%318,48719,013

值得注意的是常见弱点枚举 (CWE) 包括 CWE-200:将敏感信息暴露给未经授权的参与者,CWE-201: 将敏感信息插入到发送的数据中,以及 CWE-352: 跨站点请求伪造。

什么是访问控制中断?

访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。

预防

许多服务在用户登录时都会发布授权令牌。用户发出每个特权请求都需要出示授权令牌。这是确保用户身份与声称相符的安全方法,而无需他们不断输入登录凭据。通过确保 Web 应用程序使用授权令牌并对其设置严格的控制,可以确保访问控制的安全。

在客户端部分实施或弱实施的访问权限控制。缓解这些控制措施通常需要在应用端进行重写,以便正确强制执行只能由已获授权的用户访问的资源。

  • 强制执行访问权限控制
  • 限制数据操纵
  • 集中控制访问权限
  • 可配合云应用和本地应用使用
  • 保护 HTTP 和 TCP 连接
  • 情境感知访问权限
  • 过滤跨域请求

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84265972
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP Top 10 网络安全10漏洞——A02:A02 2024-加密机制失效
2401_83947398的博客
04-12 367
由于传输过程中缺少加密或弱加密,或者意外暴露敏感数据,可能会发生加密失败情况。首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。属于隐私法的数据,是否存在以明文传输的问题。数据是否适用旧的较弱的加密算法和协议来加密。收到的服务器证书和信任链是否经过验证。设计加密机制是是否考虑随机性。
OWASP Top 10 网络安全10漏洞——A01:2021-访问控制中断
Aggy阿吉的博客
03-05 734
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
2024最全OWASP Top 10 网络安全10漏洞——A012024-访问控制中断(1),2024最新花了19998买的学习教程
最新发布
HUAXIAL的博客
05-05 787
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
Laykefu客服系统 任意文件上传漏洞2024最新34岁程序员薪50w
2401_83739632的博客
04-15 295
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
2024最全k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等),网络安全面试2024
2401_84545884的博客
05-05 929
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
OWASP Top 10 网络安全10漏洞——A02:A02:2021-加密机制失效
Aggy阿吉的博客
03-05 764
首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。属于隐私法的数据,是否存在以明文传输的问题。数据是否适用旧的较弱的加密算法和协议来加密。收到的服务器证书和信任链是否经过验证。设计加密机制是是否考虑随机性。
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
02-04
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 是一个社区驱动的项目,由 OWASP(开放式网络应用程序安全项目)发起,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的重要知识点进行详细解释。 项目...
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA靶场,集成了owasp top 10漏洞,可以在这里面进行学习漏洞原理、利用和危害
OWASP Top 10 网络安全10漏洞——A02,2024最新不可思议
afagagagaa的博客
04-10 1068
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
OWASP TOP 10漏洞原理和应对策略,2024Java研发必问高级面试题
2301_79099364的博客
04-01 931
学习技术一定要制定一个明确的学习路线,这样才能高效的学习,不必要做无效功,既浪费时间又得不到什么效率,大家不妨按照我这份路线来学习。大家不妨直接在牛客和力扣上多刷题,同时,我也拿了一些面试题跟大家分享,也是从一些大佬那里获得的,大家不妨多刷刷题,为金九银十冲一波!获得的,大家不妨多刷刷题,为金九银十冲一波![外链图片转存中…(img-YGfua8oW-1711984047064)][外链图片转存中…(img-9qQOGkBX-1711984047065)]
【渗透测试】OWASP TOP10
热门推荐
qq_48201589的博客
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
owasp top10 | 十大常见漏洞详解
m0_73826804的博客
02-22 3617
在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个版本,研究下我们 IT 行业从业人员最容易引入的漏洞,后续文章会更新具体的漏洞原因、场景、防护手段,提升我们的应用抗风险能力。应用程序安全风险攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方法都代表了一种风险,这些风险都值得关注。
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1261
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
OWASP Top 10 网络安全10漏洞——A012024-访问控制中断
2401_83947398的博客
04-12 869
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
LLM应用的OWASP Top 10漏洞2024最新2024网易网络安全岗面试必问
2401_84411822的博客
04-17 907
消费者与LLM应用之间的交互形成了一个双向的信任边界,我们不能天生信任客户端到LLM的输入或LLM到客户端的输出。这是LLM的一个关键特征,因为它决定了模型可以理解的语言模式的复杂性,以及它可以处理的文本大小。对于 LLM 应用的消费者来说,重要的是要意识到如何安全地与 LLM 进行交互,识别到无意中输入敏感数据的相关风险,这些数据可能随后会由 LLM 返回在其他地方的输出中。LLM 应用的所有者还应该制定适当的使用条款政策,让消费者了解他们的数据如何被处理,并有权选择不让他们的数据包含在训练模型中。
OWASP TOP 10漏洞分析
weixin_54535828的博客
05-07 2384
1.注入 - Injection 2.跨站脚本 - (XSS) 3.失效的验证和和会话管理 4.不安全的直接对象访问 5.跨站请求伪造 - (CSRF) 6.不正确的安全设置 7.不安全的加密存储 8.URL访问限制缺失 9.没有足够的传输层防护 10.未验证的重定向和跳转 注入-Injection 1、虽然还有其他类型的注入攻击,但绝大多数情况下,问题设计的都是SQL注入 2、攻击者通过发送SQL操作语句,达到获取信息、篡改数据库、控制服务器等目的。是目前费长流行的WEB攻击手段 3、流行性:常见;危
你作为网络安全领域的专家,单独并详细解释一下OWASP Top 10
05-20
OWASP Top 10是由开放式Web应用程序安全项目(OWASP)发布的一个基础性的Web应用程序安全风险清单。它列出了当前最严重的Web应用程序安全威胁,提供了有关如何识别和缓解这些威胁的建议。 以下是OWASP Top 10清单:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值