WASC和OWASP到底是干啥的?

最新推荐文章于 2025-01-22 09:00:00 发布
最新推荐文章于 2025-01-22 09:00:00 发布
阅读量1k 收藏 32
点赞数 24
分类专栏: 安全渗透测试 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TiantianMami/article/details/137956663
版权
文章介绍了WASC的Web安全威胁分类,详细列举了身份验证、授权、客户端攻击、命令执行等领域的攻击手段,并强调了OWASP在提升Web应用安全性中的作用,以及OWASPTop10关键风险点,包括失效的访问控制、加密机制失效等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WASC(Web Application Security Consortium)是一个由安全专家、行业顾问和多个组织的代表组成的国际团体。WASC的关键项目之一是“Web安全威胁分类”,该项目旨在将Web应用所受到的威胁和攻击进行详细说明,并归纳成具有共同特征的分类,以制定和推广行业标准术语。

WASC威胁分类:

Authentication (验证)

攻击手段

  1. 身份认证不足:攻击者利用不严格的认证机制,通过猜测或破解密码来获取访问权限。
  2. 会话劫持:攻击者通过窃取会话ID(如Cookie)来冒充已认证用户。
  3. 会话预测:攻击者预测会话令牌的生成算法,创建有效的会话令牌。
  4. 密码破解:使用自动化工具或彩虹表来破解密码。
  5. 中间人攻击(MITM):攻击者截取并修改认证过程中的通信,可能用于窃取凭证。

Authorization (授权)

攻击手段

  1. 权限绕过:攻击者通过修改请求参数或利用后端逻辑漏洞来访问未授权的功能。
  2. 不安全的直接对象引用(IDOR):攻击者通过修改URL中的ID参数来访问或操作其他用户的数据。
  3. 垂直权限绕过:攻击者尝试执行管理员或系统级别才允许的操作。
  4. 水平权限绕过:攻击者尝试访问同一权限级别但属于其他用户的资源。

Client-Side Attack (客户端攻击)

攻击手段

  1. 跨站脚本(XSS):攻击者注入恶意脚本,影响其他用户,可能用于会话劫持或数据泄露。
  2. 点击劫持:攻击者使用透明或不可见的iframe诱使用户点击恶意链接。
  3. 跨站请求伪造(CSRF):攻击者诱导用户在不知情的情况下执行非预期的操作。
  4. 本地资源泄露/泄露:攻击者利用客户端应用程序访问或操作用户的本地文件。

Command Execution (命令执行)

攻击手段

  1. 远程命令执行(RCE):攻击者在服务器上执行任意命令,可能用于获取控制权或数据泄露。
  2. 操作系统命令注入:攻击者在应用程序中注入系统命令,绕过安全机制。
  3. 缓冲区溢出:通过发送过量数据来破坏程序的正常执行,可能用于执行恶意代码。

Information Disclo

最低0.47元/天 解锁文章
Web安全
qq_42347617的博客
05-04 626
Web应用 由动态脚本(HTML …),编译过的代码等组合成 通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,由Web应用企业后台的数据库及其他动态内容通信 Web 应用的三层架构 数据层:DOC层 业务逻辑层:Server层 安全问题一般在:Web层业务逻辑层之间 (Web层发起HTTP请求) 应用 验证码:防止机器人 长时间操作,session失效:放弃...
WASC Threat Classification 安全威胁分类
buptisc_txy的专栏
06-01 6626
对于初次学习安全知识的人而言,学习安全威胁的分类无疑是非常重要的内容。 OWASP的webgoat项目也对一些安全问题进行了分类,但是其本意还是作为一种安全学习的范例,而不是作为安全问题分类独立存在。 Web Application Security Consortium(WASC),是一个由安全专家、行业顾问诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是“Web 安全威胁分类”,英文Threat Classification”,也就是将
WASC 漏洞分类
不忘初心,护天下安全!
10-11 3817
本文针对WASC给出的分类,根据测试经验,进行进一步分析,从检测角度进一步完善攻击类型。 WASC的漏洞分类相比OWASP来说,更加的具体,比如OWASP就是失效的认证会话管理,WASC分开说:Insufficient Authentication(身份认证不足)、Credential/SessionPrediction(会话凭证可预测) 、Session Fixation...
http-安全
naozheyun2998的博客
02-27 1159
http 安全,web 安全
Web系统常见安全漏洞介绍及解决方案-sql注入
java后端开发的博客,不仅仅是后端开发
06-28 3435
Web安全越来越重要,却也容易忽略。正值公司每年一度的web安全教育培训开课,整理了Web安全的专栏文章,本文简明阐述了SQL注入的原理常见的防护方案供大家参考!
安全测试简述/安全审计工具
sunshine612的博客
04-13 1635
安全测试占比例比较少,一般在专业型公司或者钱打交道的app, Web安全测试介绍 Web应用的概念 ◆Web应用是由动态脚本、编译过的代码等组合而成。 ◆它通常架设在Web服务器上,用户在Web浏览器上发送请求。这些请求使用HTTP协议,由Web应用企业后台的数据库及其他动态内容通信。 web应用三层架构 一般安全测试在中间层,尤其是web层到应用层的传输,是最容易发生安全问题的 日常网络行...
分类之WASC
palette
12-04 3285
本文针对WASC给出的分类,根据测试经验,进行进一步分析,从检测角度进一步完善攻击类型。       WASC的漏洞分类相比OWASP来说,更加的具体,比如OWASP就是失效的认证会话管理,WASC分开说:Insufficient Authentication(身份认证不足)、Credential/SessionPrediction(会话凭证可预测) 、Session Fixation(会话固定
Web漏洞总结: OWASP Top 10
pdai的博客
01-09 4156
本文原创,更多内容可以参考: Java 全栈知识体系。如需转载请说明原处。 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势常见的Web漏洞,首推了解OWASP,因为它代表着业内Web安全漏洞的趋势。@pdai OWASP简介 OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不...
WASC威胁分类
最新发布
duyuchong的专栏
01-22 216
WASC是一个非营利组织,WASC支持商业安全技术的合理使用。主要目标是研究协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性
安全相关知识
python_girl9475的博客
07-04 245
Spoofing 就是伪装,比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing.Information Disclosure 就是信息的泄漏,比如他们的那串数字图片就没有任何保护,图片上的信息轻易的就被别人得到了。Repudiation 就是拒绝承认,比如我进行了这些攻击,他们并不知道是我做的,也没有证据是我做的,我就可以不承认。Tampering 就是篡改,比如我用别人ID发言的手段就是篡改了合法包,而他们的server端没有相应的检查措施。
高完整性系统(3):Threat Modelling
qq_42902997的博客
06-05 753
然后,再为这些事件中的一个(例如,通过门进入)制作更详细的攻击树,考虑可以通过哪些方式实现(例如,门未上锁、钻锁、撬锁、使用钥匙、社会工程等)。请求其他用户的内容:例如,如果内容分发网络 (CDN)没有正确地将一个用户的内容与另一个用户的内容隔离开来,那么一个用户可能会访问到另一个用户的内容。最后,虽然这次讲解的例子较为简单,但在处理更复杂的例子时,我们可能会需要像 fault tree 那样使用“与门”“或门”,并考虑每种事件发生的概率,以更准确地估计攻击成功的整体概率。因此,需要确保日志无法被篡改。
渗透测试 --- 方法论
daibaohui的博客
02-21 1231
渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段。方法论是在制定、实施信息安全审计方案时,需要遵循的规则、惯例过程。人们在评估网络、应用、系统或三者组合的安全状况时,不断摸索各种务实的理念成熟的做法,并总结出了一套理论——测试方法论。本章简要介绍了渗透测试方法论的各关键要点,涉及的主题包括: ● 两种广为认知的渗透测试类型——黑盒测试白盒测试; ● 漏洞评估渗透测试的区别; ● 业界普遍采纳的安全测试方法论,以及其核心功能、特征优势; ●
[Web 安全] WASC OWASP两个web安全方面组织机构介绍
weixin_30435261的博客
09-24 1134
copy from :http://blog.sina.com.cn/s/blog_70b7aab9010126mn.html WASC OWASP。这两个组织在呼吁企业加强应用安全意识指导企业开发安全的 Web 应用方面,起到了重要的作用。 Web Application Security Consortium(WASC),是一个由安全专家、行业顾问诸多组织的代...
安全威胁分类STRIDE
飞龙在天
09-29 7473
安全威胁分类的英文缩写是STRIDE, 代表了六种安全威胁,分别为Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Services, and Elevation of Privileges.
信息安全学习1. 基本概念及一些国家标准
猿来这样-谢厂节的博客
07-09 2458
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业机构来发现使用可信赖软件。——百度百科美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全 技术P
OWASP十大攻击类型详解
weixin_30699465的博客
10-29 1044
随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全中的一个重要组成部分,不但可在事后起到追踪溯源的作用,更能在日常维护中作为安全运维工作的重要参考依据。 一、OWASP的安全威胁 OWASP(开放Web软体安全项目-OpenWebApplicationSecurityPro...
会话标识未更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
OWASP十大热门威胁及其对应工具
yes_angel的博客
05-24 3470
OWASP十大热门威胁 顾名思义,OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目指南来帮助IT公司开发团队来规范应用程序开发流程测试流程,提高web产品的安全性。)这个"十
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2322
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值