知识分享:OWASP TOP10为啥这么重要?

最新推荐文章于 2024-02-24 11:55:12 发布
最新推荐文章于 2024-02-24 11:55:12 发布
阅读量2.7k 收藏
点赞数
分类专栏: CISA CISSP OWASP 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agiogo/article/details/122944422
版权
CISSP 同时被 3 个专栏收录
26 篇文章 2 订阅
订阅专栏
CISA
15 篇文章 0 订阅
订阅专栏
OWASP
1 篇文章 0 订阅
订阅专栏

网络空间安全学习群-有奖竞答通过三道题的方式,由浅入深,逐步讲解,帮助大家了解一个知识点,最终掌握知识点。我们会在麟学堂公众号对知识点进行归纳整理。

今日三题: OWASP TOP10 在全球安全行业影响非常大。它将全世界发生频率最高的漏洞进行排序,发布。这样各家软件公司,通常会对比这个列表,修补自己软件或者查找软件漏洞。而通常安全厂家会提供白盒测试工具帮助软件公司查走代码问题,参考也是要用这个OWASP TOP10。当然,OWASP的贡献远远不止web应用,还有移动应用,IOT应用等等。以后大家可以深入了解。

1、什么是OWASP?主要目的是为了什么?

A、开源web应用安全项目,关注提升软件安全的国际非盈利组织

B、开源应用安全项目,关注提升工具安全的国际非盈利组织

C、开放安全项目,关注软件安全的国内非盈利组织

D、开发安全项目,关注提升开发安全的国际非盈利组织

2、CWE,通用缺陷列表 (Common Weakness Enumeration)是?

A、常见软件和硬件安全弱点类型列表

B、 美国国家漏洞库

C、由NIST美国国家标准研究所提供

D、美国非营利组织MITRE维护的公共漏洞库

3、哪个通常不列入属于OWASP TOP10漏洞范围?

A、DDOS

B、XSS

C、注入/injection

D、安全配置错误

今日三题正确答案是: 

1. 答案:A

解析:安全从业人员,深入学习,合规方面一定要知道的是NIST机构 ,漏洞方面一定要知道的组织就是OWASP

2. 答案: A

解析:全世界安全人员无私奉献,但是那么多人奉献了这么多东西,总要放到一处吧?总得要有编号吧?方便大家一起共享。放到一起的,就是漏洞库,国际上重要的漏洞库是啥?给漏洞编号的叫啥?总要起个名字吧。然后,漏洞扫描工具类似 nessus ,appscan之类就会读取这些漏洞库,然后对比扫描对象,是否有存在漏洞。读取时候,必须有编号规则才能调用吧。

CWE,通用缺陷列表 (Common Weakness Enumeration)是常见软件和硬件安全弱点类型列表。是美国非营利组织MITRE维护的公共漏洞库CVE采用的编号。美国国家漏洞库叫做NVD,由NIST美国国家标准研究所提供

3. 答案:A

解析:看OWASP TOP10学习。

麟学堂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP Top 10(2021)漏洞学习(最新)
m0_56578216的博客
08-21 484
从第五位上升到第一位,94%的应用程序都接受了某种形式的针对“失效的访问控制”的测试,该事件的 平均发生率为 3.81%,该漏洞在提供的数据集中出现漏洞的应用数量最多,总发生漏洞应用数量超过31.8万多 次。如用户在访问账户信息的SQL时调用了未经验证的数据,攻击者只要修改它的参数就能访问任何用户;如果用户发生了,这也是一种权限控制失效漏洞。
OWASP TOP 10
weixin_59616219的博客
12-20 4716
OWASP TOP 10
安全服务/渗透测试工程师_面试题之OWASP TOP 10
10-27 3790
思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是自己学的不够扎实,理解的不够深刻,想到CSDN可以写笔记,还能跟大家一同分享,就渐渐的喜欢上了这里。 自我介绍 首先肯定是一段必不可少的自我介绍,时间大约为 3 min。 这一段必须要好好打磨,不可马虎,意简言赅(gai)。 正文 OWASP TOP 10 2020有哪些? 注入 跨站脚本攻击(XSS) 失效身份验证和会话管理 敏感信息泄露 XML外部实体注入攻击(XXE) 存储控制中断 安全性错误配置 不安全的反序列化 日志记录和监控不足
security-demo:OWASP TOP10&ESAPI 演示
07-12
安全演示 OWASP TOP10&ESAPI 演示
OWASP Top 10 详细解读
最新发布
网络安全
02-24 880
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
Top10OWASP官方十大文档存储库
02-24
10OWASP官方十大文档库 我们发布了OWASP Top 10-2017(Final) 如果您有任何意见,我们建议您。 请随时浏览问题,对其进行评论或提出新问题。 OWASP十大领导力 目前,OWASP Top 10共有四位共同负责人。我们每个星期五美国太平洋夏令时间下午1点开会,讨论该项目。 如果您想加入该通话,请与我们联系。 真的不是那么令人兴奋。 尼尔·史密斯林 布莱恩·格拉斯 托斯滕·吉格勒 安德鲁·范德· OWASP T10参考
OWASP TOP10 2017思维导图
04-03
应对暑期实习笔试面试,最近整理了一些相关材料,此份思维导图权且帮助自己掌握知识。个人整理可能会有错误,请见谅。
owasp top10测试指南
07-19
owasp 测试指南 2008 3.0全册。高清版。需要的可以下载。
OWASP Top10详解
yyh的博客
06-05 8159
目录什么是owasp top10?排行榜(1)SQL 注入(2)失效的身份认证和会话管理(3)跨站脚本攻击 XSS(4)直接引用不安全的对象(5)安全配置错误(6...
OWASP TOP 10解析
CH3UHX9
03-26 327
简介 OWASP Top 10是排名前十的漏洞,需要在日常开发和管理时注意防范。 目前最新的是2017年版的,随着时代的更新,漏洞也会不断变化。 这里只介绍OWASP Top 10不代表其他漏洞不重要,本文是对其的一个理解和记录。 A1:注入 介绍 将不受信任的数据作为命令或查询的一部分发送到解析器,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。 攻击者的恶意数据可以诱使解析器在没有授权的情况下执行非预期命令或访问数据。 攻击点 用户提供的数据没有经过应用程序的验证、
2022-渗透测试-OWASP TOP10详细讲解
保持微笑的博客
01-26 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 ​ 分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入 ​ 防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​ 1.获取数据库名 select SCHEMA_NAME from information_schema
OWASP top10分类解析之Weak Cryptography (crypto) 弱密码
manok的专栏
06-12 725
弱密码主要是由于系统或用户的密码没有达到一定的复杂程度的密码或使用较弱的加密算法产生的密码,恶意攻击者可以通过猜测、彩虹表、cookie、配置文件、注册表、网络截获等手段可以破解的密码。 CWE-261对应该类缺陷,对应OWASP 2004年十大类别A8-不安全存储,SFP二级集群的弱密码学。这些涉及到凭证管理、不受保护的凭证存储、配置文件中的空密码、使用硬编码密码、...
OWASP TOP 10 2019
lxy123_com的博客
03-10 696
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感数据暴露
2021 OWASP Top 10 Web Application Security Risks (1)
seanyang_的博客
12-02 224
2021 top10 应用安全风险,什么时候该用top10,如何使用top10启动appsec计划,详解A1A2
OWASP TOP10
weixin_53210070的博客
12-12 409
开放式Web应用程序安全项目 OWASP10 名是针对开发人员和 Web 应用程序安全的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。 全球被开发人员视为迈向更安全编码的第一步。 公司应采用此文档,并启动确保其 Web 应用程序将这些风险降至最低的过程。使用 OWASP Top 10 也许是将组织内的软件开发文化转变为产生更安全代码的最有效的第一步。 十大网络应用安全风险 有三个新类别,四个类别的命名和范围的变化,和一些巩固在前10名2021年。 A01:A
【渗透测试】OWASP TOP10
qq_48201589的博客
05-24 6472
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
【渗透整理】OWASP Top 10
SunnyCat
04-28 7293
补坑 找实习遇到的坑,写在这里给自己加深印象。今天给面试问蒙了,思路都不清楚,不知道自己说了个啥,让我自闭一会。。。 什么是 OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是...
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 2万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP10 名? OWASP10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
什么是OWASP TOP10,其内容有哪些?
07-14
OWASP TOP10是由Open Web Application Security Project(OWASP)组织提出的一个关于Web应用程序中最常见的十个安全风险的列表。个列表是为了帮助开发人员和安全专家识别和解决Web应用程序中最常见的安全漏洞而创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值