2025 OWASP十大安全漏洞

最新推荐文章于 2025-04-07 09:50:44 发布
最新推荐文章于 2025-04-07 09:50:44 发布
阅读量1k 收藏 25
点赞数 10
文章标签: 网络 web安全 安全 数据库 sqlserver sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baimao__Ch/article/details/145518932
版权

文章来源:freebuf

随着去中心化金融(DeFi)和区块链技术的不断发展,智能合约安全的重要性愈发凸显。在此背景下,开放网络应用安全项目(OWASP)发布了备受期待的《2025年智能合约十大漏洞》报告。

这份最新报告反映了不断演变的攻击向量,深入剖析了近年来的常见漏洞及缓解策略。旨在提升Web3开发者和安全团队的安全意识,为开发者、审计人员和安全专业人士提供宝贵的资源,以应对智能合约中最关键的安全漏洞。它还与其他OWASP项目,如《智能合约安全验证标准》(SCSVS)、《智能合约安全测试指南》(SCSTG)相互补充,为区块链生态系统的安全提供了全面的方法。

2023年至2025年的主要变化

2025年版榜单根据真实事件和新兴趋势更新了排名,并提供了新的见解。显著的变化包括新增了“价格预言机操纵”和“闪电贷攻击”两个独立类别,反映了这些漏洞在DeFi攻击中的日益普遍。

与此同时,早期版本中较为突出的“时间戳依赖”、“Gas 限制问题”等漏洞已被替换或整合到更广泛的类别中,如“逻辑错误”。

2025年OWASP十大漏洞详解

SC01:访问控制漏洞

访问控制漏洞仍然是智能合约中导致财务损失的主要原因,仅2024年就造成了9.532亿美元的损失。这些漏洞通常是由于权限检查未正确实施而产生的,以致未经授权的用户可以访问或修改关键功能或数据。一个典型案例是88mph的“函数初始化漏洞”,攻击者利用该漏洞重新初始化合约并获得管理员权限。

SC02:价格预言机操纵

操纵价格预言机(智能合约使用的外部数据源)可能会破坏协议的稳定性,导致财务损失或系统性故障。攻击者通常利用设计不良的预言机机制暂时抬高或压低资产价格。

SC03:逻辑错误

业务逻辑漏洞通常发生在合约未能正确执行其预期功能时。这些错误可能导致代币铸造错误、借贷协议缺陷或奖励分配错误。

SC04:输入验证缺失

未能验证用户输入可能使攻击者能够向智能合约注入恶意数据,导致意外行为或破坏合约逻辑。

SC05:重入攻击

重入攻击利用合约在完成自身状态更新之前调用外部函数的能力。这一经典漏洞在 2016 年的 DAO 攻击中被利用,导致价值 7000 万美元的以太坊被盗。

SC06:未检查的外部调用

当智能合约未能验证外部调用的成功时,可能会基于错误的交易结果假设继续执行,从而导致不一致或被恶意行为者利用。

SC07:闪电贷攻击

闪电贷允许用户在一个交易中无抵押借款,但可能被利用来操纵市场或耗尽流动性池。

SC08:整数溢出和下溢

当计算超出数据类型限制时,可能会发生算术错误,使攻击者能够操纵余额或绕过限制。

SC09:不安全的随机性

区块链的确定性特性使得生成安全的随机性具有挑战性。可预测的随机性可能会破坏依赖随机结果的功能,如抽奖或代币分配。

SC10:拒绝服务(DoS)攻击

DoS攻击针对智能合约中资源密集型功能,通过耗尽Gas限制或计算资源使其无法响应。

对现实世界的影响

OWASP 智能合约Top 10的编制基于《加密货币损失报告》等资源中记录的真实事件。仅2024年,就有149起事件被记录在案,造成了超过14.2亿美元的损失,其中访问控制漏洞(9.53亿美元)、逻辑错误(6300万美元)和重入攻击(3500万美元)是主要原因。这些数据凸显了在区块链开发中加强安全实践的紧迫性。

随着区块链技术的成熟,攻击者利用其漏洞的方法也在不断演变,这也强调了Web3项目增强自身抵御潜在漏洞能力的重要性。

版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并致歉。祝愿每一位读者生活愉快!

本公号发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

黑客/网络安全学习路线

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

在这里插入图片描述

1.网络安全学习路线图

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

在这里插入图片描述

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

OWASP Top 10安全漏洞
qq_73792226的博客
08-06 1131
1. 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 常见类型:SQL注入、OS命令注入等。 防御措施:使用预编译语句或存储过程进行数据库查询;对输入进行严格的验证和清理;使用ORM框架等。 2. 失效的身份认证(Broken Authentication) 原理:身份认证机制不健全,导致攻击者能够绕过认证机制,冒充其他用户。 常见类型:密码猜测、会话劫持等。 防御措施:使用多因素认证增强安全性;采用强密码策略并定期更换密码;对会话管理进行加密等。
owasp十大安全漏洞_OWASP十大漏洞
cuyi7076的博客
07-07 8611
OWASP 免费试用AppScan Standard IBM Security AppScan Standard可帮助您检测和纠正OWASP10名列表中发现的许多类型的安全问题。 您可以下载AppScan Standard的试用版并自己进行测试。 开放式Web应用程序安全项目(OWASP)是一个致力于增强Web应用程序安全性的国际组织。 作为其使命的一部分,OWASP赞助了众...
OWASP十大安全漏洞
01-12
总结和学习了2017新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述,详见ppt
Web 安全OWASP TOP10 漏洞介绍,从零基础到精通,收藏这篇就够了!_owasp top 10最新
最新发布
yy1715713348的博客
04-07 1308
掌握OWASP TOP 10漏洞只是Web安全的第一步,安全之路漫漫,需要我们不断学习、实践和总结。希望这篇文章能帮助你更好地理解Web安全,为你的职业发展添砖加瓦!
OWASP TOP 10漏洞及防范
阳光灿烂的日子的博客
06-19 2880
A1 注入 Injection Web安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。 SQL注入实例 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(...
OWASP 十大常见漏洞
Wrop的博客
06-27 1654
OWASP十大安全风险包括SQL注入、身份认证缺陷、数据泄露等常见漏洞
owasp十大漏洞_OWASP十大网络应用安全漏洞
weixin_39530557的博客
12-06 2256
OWASP(The Open Web Application Security Project)是一个提供关于网络应用安全的无偏见、实用信息的非盈利组织。OWASP十大网络应用程序安全风险在2017进行了更新,并向开发人员和安全专业人员提供有关网络应用程序中常见的最关键漏洞的指导。列出的这10类应用风险是危害最大的,可能允许攻击者植入恶意软件、窃取数据或完全接管您的计算机或网络服务器。应用程序安...
OWASP 十大漏洞研究
一分耕耘一分收获
03-10 4404
首先要说一下,本文很多摘抄自此博客,这位同学珠玉在前不敢擅用,大家有兴趣可以直接看此博客。 (19条消息) OWASP top 10漏洞原理及防御(2017版官方)_wwl012345的博客-CSDN博客_top10漏洞原理 但是在此文的基础上,我又新增了其他内容,以作自己的知识体系。 所谓的OWASP 十大漏洞,每并不完全一样,所以在我的图表中其实是有12种类漏洞的。 标题 注入 注入攻击是指攻击者在输入数据时向解释器提交一些非法或者未授权的命令来欺骗解释权,使解释器错误的执行.
OWASP十大安全漏洞.pptx
11-07
OWASP发布的新版十大安全漏洞和防御方法 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织。它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助...
OWASP十大安全漏洞解析
11-08
结和学习了2017新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述
2025 OWASP十大智能合约漏洞
FreeBuf_的博客
01-21 1277
OWASP发布2025智能合约十大漏洞报告,反映了不断演变的攻击向量,深入剖析了近来的常见漏洞及缓解策略。
TWO DAY | WEB安全OWASP TOP10漏洞
EverUP
05-15 6571
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
owasp十大漏洞简单了解
qq_53639387的博客
11-23 475
1. A01:2021 – 访问控制中断 因素 已映射的 CWE 最大发病率 平均发病率 平均加权漏洞 平均加权影响 最大覆盖范围 平均覆盖范围 总发生次数 平均节能总额 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 概述 从第五位上升到第五位,94%的应用程序接受了某种形式的中断访问控制的测试,平均发生率为3.81%,并且
owasp十大漏洞_[安全技巧] 网络十大黑客工具介绍
weixin_39922374的博客
11-18 364
  黑客技术一度被认为是一个神秘的特有领域,随着技术的进步和领域环境的进步,它已经成为一种非常普遍的现象。黑客技术可以用于有害目的,也可以用于发现系统中的漏洞,并通知系统属主,帮助他们更好地保护系统。借助于一些工具及其基本知识,黑客可以更高效地执行安全测试,这对他们的任务有很大帮助。以下介绍黑客十大常用工具。1、NmapNmap(Network Mapper)是一款非常著名的、用来扫描端口和绘制网...
OWASP top10 漏洞
热门推荐
qq_52469895的博客
04-20 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​1.获取数据库名 select SCHEMA_NAME from information_schema.SCHEMA.
OWASP列举的Web应用程序十大安全漏洞 - 跨站脚本 (XSS攻击)
qq_31142237的博客
02-11 416
跨站脚本 (XSS攻击) 1、原理 Cross Site Scripting,XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS 向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每
#2025OWASP TOP 10# 一文搞懂什么是Access Control Vulnerabilities访问控制漏洞!!!
soc的博客
01-30 941
访问控制漏洞(Access Control Vulnerabilities)是指在软件系统中由于访问控制机制的不完善或错误配置导致的安全漏洞。这类漏洞允许未经授权的用户访问或操作他们本不应该接触到的数据和功能。访问控制漏洞可以发生在不同的层面,包括操作系统、网络设备、数据库以及应用程序等。
OWASP TOP 10漏洞总结
weixin_75158417的博客
11-27 1150
Web应用系统中,由于权限控制机制未能正确实施或存在缺陷,导致用户能够访问或操作他们本不应该具备权限的资源或功能。这种情况通常发生在系统未能遵循最小权限原则或默认拒绝原则。在Web应用程序中,由于加密措施的不当或缺失,导致敏感数据在传输或存储过程中被泄露或遭受篡改的风险增加。在应用程序接收用户输入的地方注入自己精心构造的攻击代码,以达到执行任意操作、篡改数据或者获取敏感信息的目的。注入攻击是Web应用程序中最常见的攻击类型,攻击成功将导致应用程序的机密性、完整性和可用性等方面的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值